ETH黑客卷走Verus以太坊桥1158万美元资金
多家区块链安全平台监测显示,Verus跨链桥合约遭受攻击,储备池中的ETH、tBTC及USDC被洗劫一空。
攻击手法解析
安全公司CertiK与PeckShield在事件发生数小时内,监测到地址为0x71518580…cd7f63的桥合约出现异常活动。根据其公布的数据,被盗资产包括1625枚ETH、103.56枚tBTC及14.7万枚USDC。攻击者迅速将所有资产置换为约5402枚ETH,并转移至独立钱包。
另一安全机构Blockaid随后发布技术分析报告,清晰揭示了漏洞成因。该报告指出,桥合约原本正确验证了三项内容:由15名公证人中8人签署的Verus状态根、跨链转账的默克尔证明,以及确认数据完整性的哈希绑定。然而合约未能核验源链声明的转账金额与实际支付金额是否一致。
攻击者在Verus链上构建了一笔仅支付约0.02VRSC的交易,该交易在源链金额字段留白的同时,却承诺支付包含大额资产的哈希值。由于该操作符合协议规则,公证人仍对生成的状态根进行了签名。
随后攻击者在以太坊侧调用submitImports()函数,提交了哈希匹配的序列化数据包。桥合约验证哈希无误后,便从储备池中向攻击者支付了巨额资产。整个攻击过程中,攻击者仅消耗约10美元的VRSC手续费,却获利约1158万美元。
据Blockaid分析,该漏洞源于checkCCEValues函数缺少源金额验证,仅需约十行Solidity代码即可修复。本次事件并未涉及ECDSA签名绕过、公证人密钥泄露或数据解析漏洞。
跨链桥安全态势趋严
近期跨链桥攻击事件呈上升态势,本次Verus事件已是年内第八起同类案例。PeckShield数据显示,今年跨链桥攻击累计造成至少3.28亿美元损失。上月加密领域因安全事件损失超6.5亿美元,其中仅KelpDAO与Drift Protocol两起事件就造成近5.77亿美元损失。
市场数据显示,Verus原生代币VRSC在事件发生后24小时内价格波动微弱,当日交易价格基本持平。截至报告时,该代币价格约为0.75美元,30日内跌幅6%,近一年内价值缩水约73%。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注