多源区块链安全监测平台确认,Verus跨链桥的智能合约遭遇针对性攻击,其储备池中的以太坊原生资产与稳定币被完全清空,涉及ETH、tBTC及USDC等主流代币。
安全机构CertiK与PeckShield在事件爆发数小时内追踪到异常地址0x71518580…cd7f63,该桥合约存在未授权资金提取行为。数据显示,被盗资产包括1625枚ETH、103.56枚tBTC以及14.7万枚USDC。攻击者随即通过去中心化交易所将赃款兑换为约5402枚ETH,并转入多个独立控制的钱包地址。
Blockaid后续发布深度技术分析,指出漏洞核心在于桥合约未能对跨链转账的源链声明金额进行有效性比对。尽管系统正确验证了公证人签名、默克尔证明和哈希绑定,却忽略了转账金额字段是否真实匹配实际支付量。
攻击者在Verus链上发起一笔极低费用交易,仅支付0.02VRSC,但故意在金额字段留空,同时伪造一个包含大额资产的哈希值。由于协议规则允许此类结构,15名公证人中的8位仍完成了状态根签名。
随后,攻击者在以太坊侧调用submitImports()函数,提交与哈希一致的数据包。合约因无法识别金额不一致问题,自动触发资产释放流程,向攻击者支付了远超实际成本的巨额资金。整个过程仅消耗约10美元的手续费,最终收益达1158万美元。
据分析,该缺陷源于checkCCEValues函数中缺失源金额核验逻辑,修复仅需补充十余行Solidity代码。此次攻击未涉及签名伪造、密钥泄露或数据解析错误,属于典型的逻辑验证疏漏。
今年以来,跨链桥类攻击事件频发,本次为第八起重大案例。根据PeckShield统计,年内累计造成至少3.28亿美元资产流失。上月加密行业整体因安全事件损失超过6.5亿美元,其中KelpDAO与Drift Protocol两起事件就贡献近5.77亿美元损失。
市场反应方面,Verus代币VRSC在事件后24小时价格波动有限,当日均价维持稳定。截至报告时,其市值报价约为0.75美元,过去30天内跌幅达6%,较一年前已缩水逾七成。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.