Эксплойт моста Verus–Ethereum привел к краже криптоактивов на $11,5 млн

Verus столкнулся с масштабной атакой на свой мост в сети Ethereum: по оценкам компаний, занимающихся блокчейн-безопасностью, злоумышленники вывели около $11,58 млн в цифровых активах. О подозрительной активности поздно вечером в воскресенье сообщила ончейн-платформа Blockaid. По ее данным, операции были связаны с кошельком атакующего, начинающимся на "0x5aBb", а похищенные средства временно аккумулировались на адресе, оканчивающемся на "C25F9". Исследователи PeckShield уточнили масштабы потерь: в ходе эксплойта мост VerusEthereum, по их оценке, лишился порядка 103,6 tBTC, 1 625 ETH и 147 000 USDC. После вывода активы оперативно были конвертированы в примерно 5 402 ETH, что соответствует около $11,4 млн по текущим рыночным ценам. PeckShield также указала, что исходное финансирование кошелька атакующего поступило через Tornado Cash — сервис микширования криптовалют, часто используемый для анонимизации транзакций. На адрес было зачислено 1 ETH примерно за 14 часов до атаки. Компания GoPlus предположила, что эксплойт мог быть связан со сложной уязвимостью в системе валидации транзакций моста. По версии аналитиков, злоумышленник отправил в контракт моста транзакцию на небольшую сумму, после чего активировал функцию, позволившую пакетно перевести резервные активы напрямую на "drainer"-кошелек. В GoPlus также допускают, что инцидент мог быть вызван сбоями в проверке кроссчейн-сообщений, подделкой подписей, обходом логики вывода или недостатками контроля доступа в инфраструктуре моста. Подобные уязвимости регулярно становятся мишенью в DeFi, особенно в кроссчейн-мостах, которые управляют крупными пулами заблокированной ликвидности. Проект Verus запущен в 2018 году. Это ориентированная на приватность блокчейн-сеть с гибридным консенсусом "proofofpower", сочетающим элементы proofofwork и proofofstake. Мост с Ethereum был представлен в октябре 2023 года и предназначен для перевода и конвертации активов между экосистемой Verus и Ethereum.