Децентрализованный финансовый протокол Verus стал жертвой масштабной кибератаки: злоумышленник эксплуатировал уязвимость в мосте, связывающем экосистему проекта с сетью Ethereum, что привело к компрометации криптоактивов на сумму приблизительно $11,5 млн. Первой тревогу забила платформа блокчейн-безопасности Blockaid, зафиксировавшая аномальную активность адреса, начинающегося с префикса 0x5aBb, и отследившая перемещение похищенных средств на конечный кошелек с суффиксом C25F9.
Специалисты исследовательской фирмы PeckShield детализировали масштаб инцидента: из моста Verus-Ethereum было выведено 103,6 tBTC, 1 625 ETH и 147 000 USDC. Злоумышленник оперативно конвертировал украденные активы в 5 402 ETH, рыночная стоимость которых на момент анализа составляла около $11,4 млн.
Расследование PeckShield также выявило подготовительный этап атаки: адрес эксплойтера был предварительно профинансирован через сервис микширования транзакций Tornado Cash — за 14 часов до инцидента на него поступил 1 ETH, что указывает на заблаговременное планирование операции.
Эксперты по безопасности компании GoPlus выдвинули гипотезу о технической природе уязвимости: вероятной причиной стал сбой в системе верификации транзакций моста. По их оценке, хакер мог инициировать в смарт-контракте моста транзакцию с минимальной стоимостью, после чего активировать функцию, позволившую единовременно перевести резервные активы напрямую на контролируемый злоумышленником адрес.