摘要:Verus Protocol的以太坊跨链桥因验证机制缺陷遭攻击,导致超过1150万美元资产被窃。安全机构分析指出,攻击者通过伪造跨链消息绕过校验,引发多笔资金转移。该事件再次暴露跨链基础设施的安全短板。
币圈界报道:
Verus协议以太坊桥遭恶意入侵,超千万美元资产失窃
安全团队披露,Verus Protocol的以太坊跨链桥因关键验证环节缺失,遭遇伪造跨链传输指令攻击,造成价值逾1150万美元的数字资产被非法转移。
漏洞根源锁定:核心验证函数存在严重疏漏
Blockaid、PeckShield与ExVul联合调查发现,此次攻击源于桥接合约中未实施有效的源金额校验。监控系统于上周日识别出异常交易行为,确认攻击发生。被盗资金最初流入一个标记为“0x5aBb…D5777”的地址,随后被转入另一枚“0x65C…C25F9”钱包。
资产流向追踪:盗币已兑换为大量ETH并混币处理
PeckShield数据显示,受袭资产包含103.6枚tBTC、1625枚ETH及近14.7万枚USDC。后续追踪显示,攻击者已将部分代币转换为5402枚ETH,按市价估算价值约1140万美元。值得注意的是,攻击前数小时,其钱包曾通过Tornado Cash接收1枚ETH,此操作模式常用于掩盖资金来源。
攻击路径还原:低额试探触发批量提款
GoPlus Security分析指出,攻击者先发送一笔小额交易作为诱饵,再调用特定函数实现储备金的大规模转移。该机构推断,漏洞可能涉及跨链消息验证失效、提款逻辑绕过或权限控制缺陷。
技术复盘:与历史重大漏洞高度相似
Blockaid对比指出,本次事件与2022年Nomad和Wormhole攻击如出一辙,均依赖伪造的跨链指令诱导协议释放资金。经排查,排除了ECDSA签名绕过、公证密钥泄露及哈希绑定错误等可能性,最终定位至“checkCCEValues函数中缺少源金额验证”——仅需十余行Solidity代码即可修复。
行业警示:跨链生态安全风险持续升级
Verus-Ethereum桥自2023年上线以来,支持两链间资产流转。该协议原生于2018年,采用混合共识机制。截至发稿,官方尚未就此次事件作出回应。
2026年第一季度,去中心化金融领域已爆发34起重大安全事件,累计损失超1.686亿美元。其中四月发生的两起案件尤为严重,分别为造成2.8亿美元损失的Drift Protocol漏洞与2.92亿美元的Kelp攻击。
此外,上周末,跨链流动性协议THORChain亦确认遭遇价值1000万美元的攻击,进一步加剧市场对互操作性基础设施稳定性的忧虑。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。