Secondo alcune fonti, degli hacker avrebbero sottratto 11,58 milioni di dollari dal bridge Verus-Ethereum.
Secondo gli avvisi provenienti da diverse piattaforme di sicurezza blockchain, l'attacco ha colpito uno dei contratti bridge cross-chain di Verus, svuotando le riserve contenenti ETH, tBTC e USDC.
Come ha funzionato l'attacco
Due delle società, CertiK e PeckShield, hanno segnalato attività sospette provenienti dal contratto bridge all'indirizzo 0x71518580…cd7f63 entro poche ore dall'attacco.
Secondo quanto riportato nei loro post su X, gli asset rubati ammontavano a 1.625 ETH, 103,56 tBTC e 147.000 USDC, e l'attaccante ha rapidamente convertito tutto in circa 5.402 ETH, depositando i fondi in un portafoglio separato.
Un'altra società di sicurezza on-chain, Blockaid, ha pubblicato poco dopo un'analisi tecnica dettagliata, che rappresenta la spiegazione più chiara di cosa sia andato storto.
Secondo loro, il bridge ha verificato correttamente tre cose: una radice di stato Verus autenticata e firmata da otto dei quindici notai, una prova Merkle dell'esportazione cross-chain e un binding hash che conferma l'integrità dei dati di trasferimento. Tuttavia, ciò che non ha verificato è se gli importi dichiarati nell'esportazione dalla blockchain di origine corrispondessero effettivamente a quanto stava per essere pagato.
Secondo quanto riferito, l'attaccante avrebbe creato una transazione sul lato Verus per circa 0,02 VRSC, pari a circa 0,01 dollari al prezzo attuale, che avrebbe eseguito un hash Keccak di un blocco di pagamento, elencando al contempo totali vuoti sul lato sorgente. Il protocollo Verus l'ha accettata come legittima e i notai hanno firmato la radice di stato risultante senza problemi, perché dal loro punto di vista non c'era nulla di anomalo.
Sul lato Ethereum, l'attaccante ha chiamato submitImports() con un blob di trasferimento serializzato il cui hash corrispondeva al valore confermato, quindi il bridge ha verificato l'hash, decodificato il blob e pagato all'attaccante 1.625 ETH, 103 tBTC e 147.000 USDC dalle sue riserve.
In sintesi, l'attaccante ha speso circa 10 dollari in commissioni VRSC per un guadagno di 11,58 milioni di dollari. Secondo il rapporto di Blockaid, non c'è stata alcuna elusione dell'ECDSA, nessuna compromissione delle chiavi notarili e nessun bug nel parser o nell'hash binding.
La vulnerabilità consisteva nella mancanza di una convalida dell'importo di origine in una funzione chiamata "checkCCEVales", che, secondo la società di sicurezza, richiederebbe circa dieci righe di codice Solidity per essere corretta.
Le imprese di sfruttamento dei ponti sono in aumento
Secondo Certik, il mese scorso il settore delle criptovalute ha perso più di 650 milioni di dollari a causa di malintenzionati, e gran parte di questa somma è riconducibile a soli due episodi: un attacco a KelpDAO che ha portato al furto di oltre 292 milioni di dollari e un altro a Drift Protocol, che ha causato una perdita di oltre 285 milioni di dollari.
Anche i bridge sono sempre più spesso presi di mira: la falla di sicurezza di Verus rappresenta l'ottavo incidente che coinvolge piattaforme di questo tipo quest'anno e, secondo PeckShield, gli aggressori si sono impossessati di almeno 328 milioni di dollari.
Nel frattempo, osservando il mercato, VRSC, il token nativo di Verus, non sembra aver reagito alla notizia dell'attacco. I dati di CoinGecko mostrano che è rimasto sostanzialmente invariato il giorno dell'attacco, con variazioni minime nelle 24 ore precedenti.
Al momento della stesura di questo articolo, il titolo veniva scambiato a circa 0,75 dollari, in calo del 6% negli ultimi 30 giorni, mentre nell'ultimo anno ha perso quasi il 73% del suo valore.
L'articolo "Hacker ruba oltre 11 milioni di dollari dal bridge Verus-Ethereum" è apparso per la prima volta su CryptoPotato .