📢 Gate 广场 TradFi 交易分享挑战上线!
晒单瓜分 $30,000 奖池,新人首帖 100% 中奖!
📌 参与方式:
带 #TradFi交易分享挑战 发帖,满足以下任一即可:
🔹 带今日指定 TradFi 币种标签发帖交流。
🔹 完成单笔大于 $10U 的 TradFi CFD 交易并挂载交易卡片。
🏷️ 今日指定标签:USDJPY、AUDUSD、US30、TSLA、JPN225
🎁 宠粉福利:
1️⃣ 卡片分享奖: 抽 50 人,每人送 $100 仓位体验券!
2️⃣ 发帖榜单奖: 冲排行榜,赢 WCTC 限定 T 恤!
3️⃣ 新粉见面礼: 新人首次发帖,100% 领 $10 体验券!
详情:https://www.gate.com/announcements/article/51221
Verus 以太坊桥漏洞导致1,160万美元被盗 并在修复即将到来之际暂停节点
Verus 以太坊桥漏洞迅速成为本周最受关注的加密安全事件之一,约有1160万美元的资产被盗后汇聚到以太坊中。周日晚些时候,链上安全公司发出警报后,很快演变成关于另一个跨链系统在基本验证步骤上可能失败的更广泛问题。
损失并非微不足道或抽象的。PeckShield表示,桥失去了103.6个tBTC、1625个ETH和147,000个USDC,这些资产的混合显示出在短时间内有大量桥储备被抽走。攻击者随后将被盗的加密货币兑换成约5402个ETH,将战利品集中在一个主要资产中。
与此同时,操作上的后果超出了桥本身。Verus在其Discord频道中表示,Verus网络在大部分区块生成节点离线响应攻击的副产品后停止运行。开发者目前正在调查漏洞的工作原理,尚未发布完整的公开事后分析。
Verus-Ethereum桥发生了什么
核心事实十分明显:Verus-Ethereum桥遭遇持续性漏洞,导致约1160万美元的加密资产被盗。
PeckShield的分析提供了最清晰的公开损失情况,报告称桥失去了103.6个tBTC、1625个ETH和147,000个USDC。
这很重要,因为桥的漏洞触及DeFi最敏感的环节之一:在链之间转移价值的基础设施。当桥被攻破时,损害可能迅速扩散,影响流动性、用户信心和网络运营。
在此案例中,Verus以太坊桥的漏洞似乎也扰乱了更广泛的Verus网络响应。Verus表示,大部分区块生成节点自行下线,导致网络暂停,团队正在处理后续影响。
攻击者如何转移资金
Blockaid表示,他们在周日晚些时候检测到攻击,并确认攻击者钱包为0x5aBb…D5777。据该公司称,被盗资产随后被转移到另一个标记为0x65C…C25F9的钱包。
PeckShield表示,攻击者后来将被盗资金兑换成约5402个ETH,按当时的市场价估算,价值大约在1140万到1160万美元之间。这一兑换对调查人员和市场观察者都具有重要意义,因为将多种被盗资产转换为ETH可以简化持有和后续转移。
安全圈立即关注的另一个细节是,PeckShield表示,攻击者钱包在漏洞发生前约14小时,通过Tornado Cash首次获得了1 ETH的资金。
这本身不能解释漏洞,但为事件增添了熟悉的模式。在许多DeFi攻击案例中,通过隐私工具的少量初始资金是链上追踪的第一个线索。
安全公司为何认为验证缺陷涉及其中
早期分析指出,问题可能不在私钥盗窃,而更偏向于结构性桥漏洞。
几家安全公司表示,可能的问题涉及跨链消息验证。GoPlus Security指出,可能存在跨链消息验证失败、提款逻辑绕过或访问控制弱点。实际上,这意味着桥可能接受或处理了本不应接受的消息。
Blockaid提供了更具体的解释,称问题似乎出在桥验证函数中缺少源金额验证。这一细节非常重要。如果桥未能正确验证与跨链消息相关的源金额,攻击者可能会在没有合法存款的情况下,从储备中触发转账。
ExVul提出了类似的理论,称攻击者使用伪造的跨链导入载荷,绕过了桥的验证过程。如果这一说法成立,漏洞将符合DeFi桥安全中常见的、代价高昂的模式:桥的失败不是因为签名密钥被盗,而是因为验证跨链操作的逻辑过于薄弱。
这也是为什么Verus以太坊桥漏洞引起比单纯的美元损失更广泛关注的原因。验证缺陷直指桥设计的核心。如果信任假设或验证路径脆弱,即使没有经典的钱包被攻破,也可能暴露大量跨链流动性。
跨链验证缺陷可能意味着什么
在桥系统中,跨链验证是确认消息或转账合法性的重要步骤。在该步骤被破坏时,桥可能会对本应拒绝的数据采取行动。这也是安全团队关注验证路径而非单纯钱包盗窃的原因。
这对DeFi桥安全意味着什么
桥系统处于一个风险较高的中间地带。它们应连接不同的网络,验证消息,持有储备,并在条件满足时释放资产。这使它们既有用,又异常容易受到攻击。
Verus案例强化了DeFi桥安全中的一个反复教训:安全不仅仅关乎保护密钥,还关乎确保验证函数、导入逻辑和提款控制不能被篡改或伪造数据所欺骗。
安全公司在此问题上正是关注于此。反复提到的跨链验证缺陷、缺失源金额验证和可能的访问控制弱点,都指向一个更广泛的问题——桥接受和执行跨链指令的规则是否足够强大。
对用户和开发者来说,这部分值得关注。一个桥可能看似正常运行,直到验证假设被打破。
对网络的影响及未来展望
Verus表示,网络在大部分区块生成节点离线响应攻击副产品后暂停。这使得事件超出了智能合约的范畴,进入到网络层面的中断。
项目开发者正在调查漏洞的具体工作原理,以及下一步应采取的措施。目前,Verus团队尚未发布完整的公开事后分析。
下一阶段将集中在技术审查:桥验证路径是如何被绕过的,疑似缺陷是否符合安全公司描述的情况,以及在恢复信心之前需要做出哪些改动。至今,这次攻击再次提醒我们,在加密领域,最薄弱的环节往往不是资产本身,而是用来跨链转移资产的代码。