Przełamanie zabezpieczeń mostu kryptowalutowego Verus–Ethereum doprowadziło do natychmiastowej straty aktywów o wartości 11,58 miliona dolarów.
Atakujący wykorzystał lukę w logice kontraktu, po czym wypłacił skradzione tokeny i wyprał je za pośrednictwem miksera Tornado Cash.
Twórcy protokołu Verus podjęli decyzję o awaryjnym zatrzymaniu sieci i wyłączeniu większości węzłów walidujących transakcje.
Sektor zdecentralizowanych finansów dotknął kolejny poważny kryzys bezpieczeństwa. Ofiarą cyberprzestępców padł zaawansowany technologicznie most łączący sieć Verus z ekosystemem Ethereum. Według oficjalnych komunikatów opublikowanych przez czołowe firmy zajmujące się analityką blockchain, z inteligentnego kontraktu obsługującego transfery międzyłańcuchowe zniknęły cyfrowe aktywa wyceniane łącznie na 11,58 miliona dolarów. Incydent wymusił na deweloperach natychmiastową i radykalną reakcję w celu ratowania reszty zablokowanych funduszy.
🔎 Verus-Ethereum Bridge $11.58M drain - Suspected root cause
Same class as Wormhole-2022 / Nomad-2022: source ↔ destination economic-value binding gap.
What the bridge correctly verifies:
✓ Notarized Verus state root (8/15 valid notary sigs, all cryptographically sound)
✓
Jak przebiegał atak na most sieciowy
Szczegółowy przebieg incydentu ujawniła platforma bezpieczeństwa on-chain Blockaid w swoim oficjalnym raporcie opublikowanym w serwisie X. Analitycy zidentyfikowali cyfrowy ślad napastnika i wskazali bezpośredni adres kryptograficzny sprawcy: 0x5aBb…D5777. Skradziony kapitał trafił pierwotnie do portfela o sygnaturze 0x65C…C25F9. Cała operacja została przygotowana z dużym wyprzedzeniem. Adres powiązany z hakerem otrzymał początkowe finansowanie na opłaty transakcyjne (tzw. gas) w wysokości 1 ETH około 14 godzin przed uderzeniem. Środki te pochodziły ze zdecentralizowanego miksera Tornado Cash, co miało uniemożliwić ustalenie tożsamości sprawcy.
Firma Peckshield dostarczyła precyzyjne wyliczenia strat. Zabezpieczający transakcje most utracił 103,6 tBTC, 1 625 ETH oraz 147 000 USDC. Agresor natychmiast przystąpił do upłynniania łupu. Wszystkie przejęte tokeny wymienił za pomocą zdecentralizowanych giełd na 5 402 ETH, których rynkowa wartość w momencie konwersji wynosiła około 11,4 miliona dolarów.
Wykorzystana luka i mechanizm drenażu
Kolejne światło na sprawę rzuciły analizy firmy GoPlus. Zabezpieczenia, które posiadał most, zostały sforsowane przy użyciu specyficznego schematu interakcji ze smart kontraktem. Napastnik przesłał do sieci transakcję o znikomej wartości finansowej, jednak zawierała ona złośliwe instrukcje. Wywołały one ukrytą funkcję w kodzie, która zmusiła kontrakt do wykonania masowego transferu wszystkich zgromadzonych rezerw bezpośrednio na adres hakera.
Eksperci z GoPlus wskazują na trzy potencjalne źródła awarii: sfałszowanie podpisów weryfikacyjnych międzyłańcuchowych komunikatów, całkowite obejście logiki autoryzacji wypłat lub fundamentalną wadę w systemie kontroli dostępu do uprawnień administratora.
Awaryjna blokada i reakcja deweloperów Verus
Reakcja twórców projektu była natychmiastowa. Na oficjalnym kanale Discord zespołu Verus pojawił się komunikat informujący o całkowitym zamrożeniu działania ekosystemu. Większość węzłów odpowiedzialnych za generowanie kolejnych bloków i zatwierdzanie transakcji została intencjonalnie wyłączona przez ich operatorów. Stało się to automatycznie po tym, jak oprogramowanie sieciowe wykryło anomalie będące bezpośrednim skutkiem ubocznym hakerskiego ataku.
Przedstawiciele Verus oświadczyli, że programiści badają obecnie dokładny mechanizm podatności kodu na manipulacje oraz pracują nad procedurą naprawczą. Blokada infrastruktury potrwa do momentu pełnego usunięcia zagrożenia.
Verus to projekt rozwijany od 2018 roku, opierający się na hybrydowym konsensusie łączącym Proof-of-Work z Proof-of-Stake. Pełne połączenie z Ethereum uruchomiono w październiku 2023 roku. Most ten stanowił kluczową magistralę dla użytkowników chcących konwertować i przesyłać kapitał pomiędzy obiema niezależnymi sieciami. Obecnie jego działanie pozostaje całkowicie zawieszone.
Tematyką aktywów cyfrowych i technologii blockchain zainteresowałem się w 2017 roku, a od 2020 roku działam w niej zawodowo. Moje główne obszary zainteresowań to transformacja cyfrowa oraz skalowanie projektów Web3. Swoją wiedzą dzielę się poprzez publikacje oraz wystąpienia na wydarzeniach branżowych w Polsce i za granicą.
Prowadzę kurs dotyczący Web3 na uczelni wyższej oraz aktywnie działam w stowarzyszeniu technologicznym. Prywatnie interesuję się tematyką zdrowia, treningu siłowego oraz optymalizacji wydajności.
