安全团队披露,Verus Protocol的以太坊跨链桥因缺乏关键有效性验证环节,遭遇伪造跨链传输指令攻击,造成价值超过1150万美元的数字资产被非法提取。
区块链安全机构Blockaid、PeckShield及ExVul联合调查发现,此次攻击源于桥接系统在处理跨链请求时未对源端金额进行强制核验。监控系统于上周日夜间识别出异常活动,并确认攻击行为。被盗资金最初流入地址“0x5aBb…D5777”,后被转移至另一标记为“0x65C…C25F9”的钱包。
PeckShield数据显示,被盗资产包含103.6枚tBTC、1625枚ETH和近14.7万枚USDC。后续追踪显示,攻击者已将部分代币兑换为5402枚ETH,按市价估算价值约1140万美元。值得注意的是,攻击前数小时,其钱包曾通过Tornado Cash接收1枚ETH,这一操作模式常见于企图隐藏资金路径的恶意行为。
GoPlus Security分析指出,攻击者先发起一笔小额交易作为诱饵,随后调用特定合约函数,致使储备金被大规模转至其控制地址。该机构推断,漏洞可能涉及跨链消息验证失效、提款逻辑绕过或权限控制失当。
Blockaid进一步解析,本次攻击手法与2022年Nomad桥和Wormhole事件高度相似,均依赖伪造传输指令诱导协议释放资金。经排查,排除了ECDSA签名绕过、公证密钥泄露及哈希绑定错误等可能性,最终定位根本原因为“checkCCEValues函数中缺少源金额验证”——仅需约10行Solidity代码即可修补。
ExVul确认,攻击者使用“伪造的跨链导入载荷”成功通过验证流程,触发三笔独立转账。该机构建议,跨链系统应在资金释放前实现执行动作与认证数据的强绑定,同时引入分层验证机制,并为异常转出设置紧急熔断功能。
Verus-Ethereum桥自2023年上线以来,支持两链间资产互换。该协议初始版本发布于2018年,采用混合共识机制。截至当前,项目方尚未就此次事件作出公开回应。
2026年第一季度,去中心化金融领域已发生多起重大安全事件。据追踪报告,仅本季度黑客便从34个协议中盗取超1.686亿美元资产。其中四月爆发两起最大规模攻击:Drift Protocol遭损2.8亿美元,Kelp事件造成2.92亿美元损失。
此外,上周末跨链流动性协议THORChain也宣布遭遇价值1000万美元的攻击,进一步加剧市场对互操作性基础设施安全性的焦虑情绪。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.