Verus-Ethereum Bridge漏洞遭利用，正在進行的攻擊已損失1,158萬美元

TLDR：

• Blockaid 的漏洞偵測系統發現一起正在進行的攻擊，已從 Verus-Ethereum 跨鏈橋中抽走 1,158 萬美元。
• Peckshield 確認攻擊者竊取了 103.6 tBTC、1,625 ETH 及 147,000 USDC，並兌換為 5,402 ETH。
• GoPlus 發現攻擊者利用一筆低價值交易，觸發橋接合約批量轉移所有儲備資產。
• 攻擊者的錢包在漏洞攻擊開始前約 14 小時，透過 Tornado Cash 預先存入 1 ETH。

Verus-Ethereum 跨鏈橋正遭受持續的漏洞攻擊，已流失約 1,158 萬美元的數位資產。區塊鏈安全公司 Blockaid 於週日透過其漏洞偵測系統發現了這起攻擊。

被盜資金包括 tBTC、ETH 及 USDC。攻擊者隨後將這些資產兌換為 ETH。多家安全公司已相繼確認此次漏洞事件，並追蹤了攻擊者的鏈上活動。

攻擊經過

Blockaid 是最早公開標記此次漏洞的機構之一。該公司將攻擊者的外部擁有帳戶地址識別為「0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777」，被抽走的資金則轉移至另一個錢包「0x65Cb8b128Bf6e690761044CCECA422bb239C25F9」。

Peckshield 詳細列出了從跨鏈橋中被盜的資產。根據該公司的資料，攻擊者從協議中抽走了 103.6 tBTC、1,625 ETH 及 147,000 USDC，這些資產隨後被兌換為約 5,402 ETH，當時價值約 1,140 萬美元。

另一家安全公司 GoPlus 揭露了攻擊所使用的手法。攻擊者向橋接合約發送一筆低價值交易並呼叫特定函數，該函數觸發橋接合約將其儲備資產批量轉移至攻擊者的錢包。

此次漏洞交易已在 Etherscan 上公開記錄，提供了透明的鏈上紀錄。涉及的橋接合約地址為「0x71518580f36feceffe0721f06ba4703218cd7f63」。安全研究人員持續監控相關地址的後續動態。

攻擊者的資金來源指向 Tornado Cash

Peckshield 也追蹤了攻擊者在發動攻擊前如何為錢包預先注資。攻擊者的地址在攻擊開始前約 14 小時，透過 Tornado Cash 收到 1 ETH。Tornado Cash 是一種加密貨幣混幣器，常被用於隱藏鏈上資金的來源。

這種注資方式是鏈上惡意行為者隱匿身分的慣用模式。攻擊者透過混幣器轉入啟動資金，使漏洞錢包難以與任何先前的歷史記錄相關聯。調查人員在追蹤被盜資產來源時，通常會重點關注此類模式。

截至撰文時，被盜資金仍存放於 Blockaid 所識別的攻擊錢包中。Verus 團隊尚未公開發布任何確認的資金追回措施或協議暫停公告。整個 DeFi 社群已收到警告，在此期間應避免與該跨鏈橋互動。

此次攻擊為近年來頻繁困擾加密產業的跨鏈橋漏洞事件再添一筆。跨鏈橋因持有大量儲備資產及智能合約邏輯的複雜性，始終是高價值攻擊目標。

本文 Verus-Ethereum Bridge Exploit Drains $11.58M in Ongoing Attack 最早發佈於 Blockonomi。