DeFi-протокол Verus стал очередной жертвой атаки на кроссчейн-инфраструктуру: злоумышленник вывел около $11,5 млн через уязвимость в мосте между сетями Verus и Ethereum. Инцидент зафиксировали специалисты сразу трёх компаний в сфере блокчейн-безопасности — Blockaid, PeckShield и GoPlus.

Согласно данным PeckShield, атакующему удалось похитить 103,6 tBTC, 1625 ETH и 147 000 USDC. Впоследствии все активы были конвертированы в 5402 ETH и по-прежнему хранятся на кошельке взломщика — средства не перемещались с момента атаки.

Подготовка к операции началась заблаговременно: за 14 часов до взлома хакер воспользовался миксером Tornado Cash для получения средств на оплату газа — стандартная практика среди тех, кто стремится скрыть следы до совершения атаки.

Технический разбор от GoPlus указывает на то, что злоумышленник инициировал транзакцию с минимальной стоимостью и задействовал функцию контракта, позволившую одним вызовом опустошить резервы моста. Эксперты рассматривают два вероятных вектора: уязвимость в логике вывода средств либо подделку подписи при валидации межсетевых сообщений. Команда Verus на момент публикации официальных комментариев не давала.

Мост между Verus и Ethereum функционирует с октября 2023 года. Сам протокол существует с 2018-го и изначально позиционировался как решение с акцентом на конфиденциальность транзакций.

Произошедшее вписывается в тревожную статистику отрасли. Совокупные потери DeFi-сектора от взломов за всё время превысили $7,7 млрд, из которых более $3,2 млрд приходится именно на эксплойты кроссчейн-мостов — стабильно остающихся наиболее уязвимым звеном децентрализованной инфраструктуры.

На этом фоне май выдался особенно напряжённым: незадолго до атаки на Verus злоумышленники вывели $10 млн из протокола THORChain, разработчики которого подтвердили взлом, но опровергли запуск какой-либо программы компенсаций. А в апреле крупнейшим инцидентом в DeFi с начала года стал взлом Kelp — за ним предположительно стоит северокорейская группировка Lazarus Group.