يقال إن المتسللين استنزفوا 11.58 مليون دولار من جسر Verus-Ethereum.
وفقًا للتنبيهات الواردة من العديد من منصات أمان blockchain، فقد أصابت الثغرة أحد عقود الجسر عبر السلسلة الخاصة بشركة Verus وأفرغت الاحتياطيات التي تحتوي على ETH وtBTC وUSDC.
كيف عمل الهجوم
قامت شركتان من الشركات، CertiK وPeckShield، بوضع علامة على نشاط مشبوه من عقد الجسر على الرقم 0x71518580…cd7f63 خلال ساعات من الاستغلال.
وفقًا لمنشوراتهم على X، بلغ إجمالي الأصول المسروقة 1625 ETH و103.56 tBTC و147000 USDC، حيث قام المهاجم بتبديل كل شيء بسرعة إلى ما يقرب من 5402 ETH ووضع الأموال في محفظة منفصلة.
نشرت شركة أمنية أخرى على السلسلة، Blockaid، عطلًا تقنيًا بعد فترة وجيزة، وهو أوضح حساب لما حدث من خطأ.
وفقًا لهم، قام الجسر بالتحقق بشكل صحيح من ثلاثة أشياء: جذر حالة Verus الموثق الموقع من ثمانية من خمسة عشر كاتب عدل، وإثبات Merkle للتصدير عبر السلسلة، وربط التجزئة الذي يؤكد سلامة بيانات النقل. ومع ذلك، فإن ما لم تتحقق منه هو ما إذا كانت المبالغ المعلنة لتصدير سلسلة المصدر تتطابق بالفعل مع ما كانت على وشك دفعه.
وبحسب ما ورد قام المهاجم ببناء معاملة على جانب Verus بقيمة 0.02 VRSC تقريبًا، أي حوالي 0.01 دولار بالأسعار الحالية، والتي ارتكبت تجزئة keccak لنقطة دفع مع إدراج إجماليات فارغة من جانب المصدر. قبله بروتوكول Verus باعتباره شرعيًا، ووقع الموثقون على جذر الحالة الناتج دون مشكلة، لأنه من وجهة نظرهم، لم يكن هناك خطأ.
على جانب إيثريوم، دعا المهاجم SubmitImports() مع كائن نقل ثنائي كبير متسلسل يتطابق تجزئته مع القيمة الملتزم بها، لذلك تحقق الجسر من التجزئة، وفك تشفير النقطة، ودفع 1,625 ETH، و103 tBTC، و147,000 USDC من احتياطياته إلى المهاجم.
باختصار، كلف المهاجم حوالي 10 دولارات كرسوم VRSC مقابل عائد قدره 11.58 مليون دولار. وفقًا لتقرير Blockaid، لم يكن هناك تجاوز ECDSA، ولم يكن هناك أي تنازل عن مفاتيح كاتب العدل، ولا يوجد خطأ في المحلل اللغوي أو ربط التجزئة.
كانت الثغرة الأمنية عبارة عن التحقق من صحة المصدر المفقود في وظيفة تسمى “checkCCEValues”، والتي، وفقًا لشركة الأمان، ستستغرق حوالي عشرة أسطر من Solidity لإصلاحها.
مآثر الجسر آخذة في الارتفاع
في الشهر الماضي، وفقًا لـ Certik، خسر قطاع العملات المشفرة الأوسع أكثر من 650 مليون دولار بسبب الجهات الفاعلة السيئة، مع جزء كبير من هذا المبلغ يأتي من حادثتين فقط: هجوم على KelpDAO أدى إلى سرقة أكثر من 292 مليون دولار وآخر على Drift Protocol، الذي خسر أكثر من 285 مليون دولار.
يتم أيضًا استهداف الجسور بشكل متزايد، حيث يعد استغلال Verus هو الحادث الثامن الذي يشمل مثل هذه المنصات هذا العام، ووفقًا لـ PeckShield، فقد سرق مهاجموها ما لا يقل عن 328 مليون دولار.
وفي الوقت نفسه، وبالنظر إلى السوق، يبدو أن VRSC، رمز Verus الأصلي، لم يتفاعل مع أخبار الاستغلال. تُظهر البيانات من CoinGecko أن السعر كان ثابتًا إلى حد كبير في يوم الاختراق، حيث لم يتحرك إلا بالكاد خلال نافذة الـ 24 ساعة قبل الهجوم.
في وقت كتابة هذا التقرير، كان يتم تداوله عند حوالي 0.75 دولار، بانخفاض 6٪ في 30 يومًا، بينما فقد في العام الماضي ما يقرب من 73٪ من قيمته.
ظهر المنشور الذي يسرق أكثر من 11 مليون دولار من Verus-Ethereum Bridge لأول مرة على CryptoPotato.
