Exploit Mostu Verus-Ethereum Drenuje 11,58 mln dolarów w Trwającym Ataku

TLDR:

• System wykrywania exploitów firmy Blockaid zidentyfikował aktywny atak, który wyprowadził 11,58 mln USD z mostu Verus-Ethereum.
• Peckshield potwierdził, że skradziono 103,6 tBTC, 1 625 ETH i 147 000 USDC, które następnie zamieniono na 5 402 ETH.
• GoPlus ustalił, że atakujący użył transakcji o niskiej wartości, aby wywołać zbiorczy transfer wszystkich rezerw mostu.
• Portfel atakującego został wcześniej zasilony 1 ETH za pośrednictwem Tornado Cash na około 14 godzin przed rozpoczęciem exploita.

Most Verus-Ethereum jest celem aktywnego exploita, który wyprowadził około 11,58 mln USD w aktywach cyfrowych. Firma zajmująca się bezpieczeństwem blockchaina, Blockaid, zidentyfikowała atak za pomocą swojego systemu wykrywania exploitów w niedzielę.

Skradzione środki obejmowały tBTC, ETH i USDC. Atakujący następnie zamienił te aktywa na ETH. Kilka firm zajmujących się bezpieczeństwem potwierdziło od tego czasu naruszenie i prześledzono aktywność atakującego w łańcuchu.

Jak przebiegał atak

Blockaid był jednym z pierwszych, którzy publicznie zgłosili exploit. Firma zidentyfikowała zewnętrzne konto atakującego pod adresem „0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777". Wyprowadzone środki zostały przeniesione do osobnego portfela pod adresem „0x65Cb8b128Bf6e690761044CCECA422bb239C25F9".

Peckshield przedstawił szczegółowy wykaz tego, co zostało skradzione z mostu. Według firmy atakujący wyprowadził z protokołu 103,6 tBTC, 1 625 ETH i 147 000 USDC. Aktywa te zostały następnie zamienione na około 5 402 ETH, których wartość wynosiła wówczas około 11,4 mln USD.

Inna firma zajmująca się bezpieczeństwem, GoPlus, rzuciła światło na metodę zastosowaną w ataku. Atakujący wysłał transakcję o niskiej wartości do kontraktu mostu i wywołał określoną funkcję. Ta funkcja spowodowała, że kontrakt mostu zbiorowo przeniósł swoje aktywa rezerwowe bezpośrednio do portfela sprawcy.

Transakcja exploita została publicznie zarejestrowana w Etherscan, zapewniając przejrzysty zapis w łańcuchu. Zaangażowany adres kontraktu mostu to „0x71518580f36feceffe0721f06ba4703218cd7f63". Badacze bezpieczeństwa nadal monitorują powiązane adresy pod kątem dalszych ruchów.

Ślad finansowania atakującego wskazuje na Tornado Cash

Peckshield prześledzył również, w jaki sposób atakujący początkowo zasilił swój portfel przed przeprowadzeniem exploita. Adres atakującego otrzymał 1 ETH za pośrednictwem Tornado Cash na około 14 godzin przed rozpoczęciem ataku. Tornado Cash to mikser kryptowalut powszechnie używany do ukrywania pochodzenia środków w łańcuchu.

Ta metoda finansowania jest rozpoznawalnym wzorcem wśród złośliwych podmiotów działających w łańcuchu, które starają się ukryć swoją tożsamość. Przekierowując środki startowe przez mikser, atakujący utrudnił powiązanie portfela exploita z jakąkolwiek wcześniejszą historią. Śledczy zazwyczaj obserwują takie wzorce podczas śledzenia źródła skradzionych aktywów.

W chwili pisania tego tekstu skradzione środki nadal pozostają w portfelu sprawcy zidentyfikowanym przez Blockaid. Zespół Verus nie opublikował publicznie żadnych potwierdzonych środków odzyskiwania ani ogłoszeń o wstrzymaniu protokołu. Szersza społeczność DeFi została poinformowana, aby w międzyczasie unikać interakcji z mostem.

Atak dołącza do długiej listy exploitów na mosty, które nękają branżę kryptowalut w ostatnich latach. Mosty cross-chain pozostają celem o wysokiej wartości ze względu na duże rezerwy, jakie posiadają, oraz złożoność logiki ich inteligentnych kontraktów.

Wpis Verus-Ethereum Bridge Exploit Drains $11.58M in Ongoing Attack pojawił się najpierw na Blockonomi.