Хакеры вывели более $11 млн из протокола Verus через взлом моста

• Мост протокола Verus взломали с помощью транзакции на сумму более $11 млн.
• Позже они совершили обмен и вывели тысячи монет Ethereum.
• Также серия атак на криптомосты принесла хакерам более $328 млн.

Кроссчейн-мосты в криптоиндустрии переживают новую волну атак. На этом фоне очередной жертвой стал мост Verus-Ethereum, из которого хакеры вывели около $11,4 млн.

Как произошла атака

Аналитики PeckShield сообщили об «аномальном оттоке активов» из моста Verus-Ethereum. По их данным, протокол потерял 103,6 tBTC, 1625 ETH и 147 000 USDC.

После атаки украденные активы обменяли на 5402,4 ETH на сумму около $11,4 млн. Средства перевели на отдельный адрес Ethereum, а стартовый кошелек злоумышленника пополнили через Tornado Cash примерно за 14 часов до взлома.

Один из пользователей X предположил, что масштаб Ethereum-резерва нападавшего свидетельствует об уверенности в безнаказанности:

В компании Blockaid заявили, что атака напоминает инциденты Wormhole 2022 года и Nomad 2022 года. По словам исследователей, проблема возникла из-за «разрыва между проверкой состояния сети и реальной экономической стоимостью активов».

Эксперты Blockaid пояснили, что мост корректно проверял:

• нотариально заверенный корневой сертификат Verus;
• доказательство Меркла относительно межсетевого экспорта;
• связь хешей транзакций.

Впрочем, система не проверяла, обеспечены ли выплаты реальными активами на стороне исходного блокчейна.

По оценке исследователей, злоумышленник создал транзакцию всего на 0,02 VRSC, но использовал механизм экспорта между сетями для получения активов из резервов моста. В результате мост «выплатил 1625 ETH, 103 tBTC и 147 000 USDC из своих резервов», тогда как расходы хакера составили примерно $10 комиссий.

В Blockaid подчеркнули:

Инци