Die Verus-Protokoll-Ethereum-Brücke wurde Opfer eines Exploits, der es einem Angreifer ermöglichte, mehr als 11,5 Millionen US-Dollar an Krypto-Assets abzuschöpfen, was Sicherheitsforscher als gefälschte Cross-Chain-Transfer-Nachricht beschrieben.
Zusammenfassung
- Die Ethereum-Brücke von Verus Protocol verlor mehr als 11,5 Millionen US-Dollar, nachdem Angreifer Berichten zufolge eine gefälschte Cross-Chain-Übertragungsnachricht verwendet hatten.
- Die Blockchain-Sicherheitsfirmen Blockaid, PeckShield und ExVul brachten den Exploit mit fehlenden Validierungsprüfungen innerhalb des Bridge-Verifizierungsprozesses in Verbindung.
Laut der On-Chain-Sicherheitsplattform Blockaid ist die ausbeuten wurde am späten Sonntag entdeckt, nachdem seine Überwachungssysteme verdächtige Aktivitäten im Zusammenhang mit der Verus-Ethereum-Brücke gemeldet hatten. Blockaid identifizierte die Wallet des Angreifers als „0x5aBb…D5777“ und sagte, die gestohlenen Gelder seien zunächst an eine andere Adresse mit der Bezeichnung „0x65C…C25F9“ verschoben worden.
Von der Blockchain-Sicherheitsfirma PeckShield geteilte Daten zeigte dass zu den abgezogenen Vermögenswerten 103,6 tBTC, 1.625 ETH und fast 147.000 USDC gehörten. PeckShield berichtete später, dass der Angreifer die gestohlenen Token in 5.402 ETH umgetauscht habe, was nach aktuellen Preisen einen Wert von rund 11,4 Millionen US-Dollar habe.
Stunden bevor der Exploit stattfand, sagte PeckShield, dass die Brieftasche des Angreifers 1 ETH über den Krypto-Mixer Tornado Cash erhalten habe, ein Detail, das häufig bei Angriffen auftaucht, bei denen versucht wird, die Herkunft von Transaktionen zu verschleiern.
Weitere Analyse von GoPlus Security IndikatoreD dass der Angreifer zunächst eine Transaktion mit geringem Wert an den Bridge-Vertrag gesendet hat, bevor er eine Funktion aufrief, die dazu führte, dass Reservevermögen stapelweise auf die Drainer-Wallet übertragen wurde.
GoPlus sagte, der Exploit sei „höchstwahrscheinlich“ mit einem Fehler bei der kettenübergreifenden Nachrichtenvalidierung, einer Umgehung der Auszahlungslogik oder einer Schwachstelle bei der Zugriffskontrolle innerhalb des Brückenmechanismus verbunden.
Blockaid lieferte eine genauere Erklärung und erklärte später, dass der Vorfall den Nomad-Bridge-Exploit- und Wormhole-Exploit-Angriffen von 2022 ähnelte, bei denen betrügerische Überweisungsanweisungen Protokolle dazu verleiteten, Reservegelder freizugeben.
In einer anschließenden technischen Bewertung sagte Blockaid, dass es sich bei dem Exploit um „keine ECDSA-Umgehung“, „keine notarielle Schlüsselkompromittierung“ und „keinen Parser-/Hash-Binding-Bug“ handele. Stattdessen führte das Unternehmen das Problem auf „eine fehlende Quellmengenvalidierung in checkCCEValues“ zurück und beschrieb es als einen Fehler, der Berichten zufolge mit etwa 10 Zeilen Solidity-Code behoben werden könne.
Blockchain-Sicherheitsanbieter ExVul erreicht Eine ähnliche Schlussfolgerung lautet, dass der Angreifer eine „gefälschte Cross-Chain-Import-Payload“ verwendet habe, die den Verifizierungsprozess der Bridge erfolgreich bestanden habe. Laut ExVul löste der Exploit schließlich drei separate Übertragungen von den Bridge-Reserven in die vom Angreifer kontrollierte Wallet aus.
ExVul fügte hinzu, dass kettenübergreifende Proof-Systeme die Übertragungsausführung direkt an authentifizierte Nutzdaten binden sollten, bevor Gelder freigegeben werden. Das Unternehmen empfahl außerdem eine strengere Payload-Validierung, mehrschichtige Verifizierungsschutzmaßnahmen und Notfall-Pause-Mechanismen für ungewöhnliche ausgehende Übertragungen.
Bridge-Exploits treffen weiterhin den DeFi-Sektor
Die 2023 eingeführte Verus-Ethereum-Brücke ermöglicht es Benutzern, Vermögenswerte zwischen dem Verus-Netzwerk und Ethereum zu verschieben und zu konvertieren. Das Protokoll selbst wurde 2018 eingeführt und basiert auf einem hybriden Proof-of-Work- und Proof-of-Stake-Konsensmodell.
Zum Zeitpunkt der Veröffentlichung hatte das Verus-Team den Exploit nicht öffentlich kommentiert.
Der Vorfall ereignete sich in einem Jahr, das bereits von mehreren großen Verstößen im dezentralen Finanzwesen heimgesucht wurde. Laut Sicherheitsverfolgungsdaten zitiert Den zusätzlichen Berichten zufolge haben Krypto-Hacker allein im ersten Quartal 2026 mehr als 168,6 Millionen US-Dollar aus 34 DeFi-Protokollen gestohlen.
Im April kam es zu zwei der größten in diesem Jahr registrierten Angriffe, darunter der gemeldete Drift Protocol-Exploit im Wert von 280 Millionen US-Dollar und der Kelp-Exploit im Wert von 292 Millionen US-Dollar.
Am Wochenende auch das kettenübergreifende Liquiditätsprotokoll THORChain bestätigt erlitt einen separaten Exploit in Höhe von 10 Millionen US-Dollar, was die wachsenden Bedenken hinsichtlich der Bridge- und Interoperabilitätsinfrastruktur im gesamten DeFi-Sektor verstärkte.
