cointelegraph-ru.com
17 мая специалисты по ончейн-безопасности зафиксировали уязвимость в мосте Verus-Ethereum, которая привела к несанкционированному выводу 103,6 tBTC, 1 625 $ETH и 147 000 USDC — в общей сложности $11,58 млн, согласно PeckShield.
Впоследствии злоумышленник обменял похищенные монеты на 5 402 $ETH (~$11,4 млн).
Эксперты отметили, что изначально хакер перевел на адрес 1 $ETH через Tornado Cash.
Verus развернули в 2018 году. Проект представляет собой ориентированный на конфиденциальность протокол, который использует гибридный консенсус «доказательство мощности» (Proof-of-Power).
В октябре 2023 года разработчики запустили мост Verus-Ethereum.
На момент публикации в Verus публично не прокомментировала инцидент.
Суть атаки
В GoPlus сообщили, что злоумышленник отправил транзакцию на небольшую сумму в контракт моста и вызвал функцию пакетного перевода резервных активов на свой кошелек.
«С высокой вероятностью речь идет о подделке проверки/подписи межсетевых сообщений, обходе логики вывода средств или уязвимости системы контроля доступа», — пояснили аналитики.
В Blockaid предложили схожее объяснение.
Согласно иллюстрации, хакеру удалось сфабриковать доказательство сжигания/блокировки токена, а смарт-контракт перевел монеты. Злоумышленник опирался на доверчивость смарт-контрактов и человеческий/машинный фактор («никто не проверил баланс»).
В апреле неизвестные взломали мост протокола ликвидного рестейкинга Kelp DAO. Хакер выпустил необеспеченные rsETH через LayerZero и использовал их как залог на Aave, чтобы занять реальные активы. У протокола образовался значительный объем безнадежных долгов.