Verus-Ethereumブリッジのエクスプロイトにより進行中の攻撃で1,158万ドルが流出

TLDR:

• BlockaidのExploit検知システムが、Verus-イーサリアムブリッジから1,158万ドルを流出させるアクティブな攻撃を検知した。
• Peckshieldは、103.6 tBTC、1,625 ETH、147,000 USDCが盗まれ、5,402 ETHに交換されたことを確認した。
• GoPlusは、攻撃者が少額のトランザクションを使用してブリッジの全準備金の一括振替を引き起こしたことを発見した。
• 攻撃者のウォレットには、Exploitが始まる約14時間前にTornado Cashを通じて1 ETHが事前に入金されていた。

Verus-イーサリアムブリッジは現在アクティブなExploitを受けており、約1,158万ドル相当のデジタル資産が流出した。ブロックチェーンセキュリティ企業のBlockaidが日曜日にそのExploit検知システムを通じて攻撃を特定した。

盗まれた資金にはtBTC、ETH、USDCが含まれており、攻撃者はその後これらの資産をETHに変換した。複数のセキュリティ企業が侵害を確認し、攻撃者のオンチェーン処理の活動を追跡している。

攻撃の経緯

Blockaidはいち早くこのExploitを公に報告した企業の一つだ。同社は攻撃者の外部所有アカウントをアドレス「0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777」と特定した。流出した資金は「0x65Cb8b128Bf6e690761044CCECA422bb239C25F9」の別ウォレットに移動された。

Peckshieldはブリッジから奪われた資産の詳細な内訳を提供した。同社によると、攻撃者はプロトコルから103.6 tBTC、1,625 ETH、147,000 USDCを流出させた。それらの資産はその後、約5,402 ETH（当時の価値で約1,140万ドル相当）に交換された。

別のセキュリティ企業であるGoPlusは攻撃に使われた手法を明らかにした。攻撃者はブリッジコントラクトに少額のトランザクションを送信し、特定の関数を呼び出した。その関数がブリッジコントラクトに準備金資産を直接攻撃者のウォレットへ一括転送させた。

このExploitトランザクションはEtherscanに公開されており、透明なオンチェーン記録として残されている。関連するブリッジコントラクトのアドレスは「0x71518580f36feceffe0721f06ba4703218cd7f63」だ。セキュリティ研究者たちは引き続き関係するアドレスの動向を監視している。

攻撃者の資金調達経路はTornado Cashに繋がる

Peckshieldはまた、攻撃者がExploitを実行する前にウォレットに資金を調達した経緯も追跡した。攻撃者のアドレスには攻撃開始の約14時間前にTornado Cashを通じて1 ETHが入金されていた。Tornado Cashはオンチェーン上で資金の出所を隠すために一般的に使用されるクリプトミキサーだ。

この資金調達方法は、身元を隠そうとするオンチェーンの悪意ある行為者の間でよく見られるパターンだ。ミキサーを通じて初期資金を経由させることで、攻撃者はExploitに使ったウォレットを過去の履歴と結びつけることを困難にした。捜査官は盗まれた資産の出所を追跡する際、こうしたパターンに注目するのが一般的だ。

執筆時点では、盗まれた資金はBlockaidが特定した流出ウォレットに残ったままだ。Verusチームからは資金回収措置やプロトコル停止に関する公式発表は行われていない。DeFiコミュニティ全体に対して、当面の間ブリッジとのやり取りを避けるよう警告が出されている。

今回の攻撃は、近年暗号資産業界を悩ませてきたクロスチェーンブリッジのExploit事例の長いリストにまた一つ加わることになった。クロスチェーンブリッジは大量の準備金を保有し、スマートコントラクトのロジックが複雑であるため、依然として高価値の標的であり続けている。

The post Verus-Ethereum Bridge Exploit Drains $11.58M in Ongoing Attack appeared first on Blockonomi.