Verus-silta menetti 11,5 miljoonaa dollaria väärennetyllä siirtoviestillä
- Verus Protocolin Ethereum-silta menetti yli 11,5 miljoonaa dollaria väärennetyn siirtoviestin kautta.
- Hyökkääjä vei 103,6 tBTC:tä, 1 625 etheriä ja lähes 147 000 USDC:tä ja vaihtoi ne 5 402 etheriksi.
- Blockaidin mukaan syynä oli puuttuva lähdesumman validointi, joka olisi korjattavissa noin kymmenellä rivillä koodia.
- Kryptohakkerit veivät vuoden 2026 ensimmäisellä neljänneksellä yli 168,6 miljoonaa dollaria 34 DeFi-protokollasta.
Sama tarkistamaton viestikenttä, joka tyhjensi Nomad- ja Wormhole-sillat jo vuonna 2022, kaatoi nyt Verus-sillan. Kysymys ei oikeastaan ole siitä, voiko silta murtua, vaan siitä, miksi sama virhe pääsee tuotantoon vuodesta toiseen.
Yksi väärennetty viesti riitti. Verus Protocolin Ethereum-silta menetti viikonloppuna yli 11,5 miljoonaa dollaria kryptovaroja, kun hyökkääjä huijasi sillan vapauttamaan varantonsa väärennetyllä ketjujen välisellä siirtoviestillä.
Turvallisuusalusta Blockaid havaitsi hyökkäyksen myöhään sunnuntaina, kun sen valvontajärjestelmät merkitsivät epäilyttävää toimintaa Verus-Ethereum-sillalla. Blockaid tunnisti hyökkääjän lompakon ja osoitteen, johon viedyt varat ensin siirrettiin.
Turvallisuusyhtiö PeckShield kertoi, että vietyihin varoihin kuului 103,6 tBTC:tä, 1 625 etheriä ja lähes 147 000 USDC:tä. Hyökkääjä vaihtoi saaliin nopeasti 5 402 etheriksi, jonka arvo oli nykyhinnoilla noin 11,4 miljoonaa dollaria.
Aikajana on tiukka. Tuntia ennen hyökkäystä hyökkääjän lompakkoon oli tullut 1 ether kryptosekoitin Tornado Cashin kautta. Se on yksityiskohta, joka liittyy usein varojen alkuperän hämärtämiseen.
Miten väärennetty viesti läpäisi tarkistuksen
Lohkoketjusilta (bridge)
Silta siirtää varoja kahden lohkoketjun välillä. Käyttäjä lukitsee varoja toiselle ketjulle, ja silta vapauttaa vastaavan määrän toisella ketjulla viestin perusteella. Jos silta ei tarkista viestin aitoutta riittävästi, väärennetty viesti voi tyhjentää sen varannot.
GoPlus Securityn analyysin mukaan hyökkääjä lähetti ensin pienen tapahtuman siltasopimukseen. Tämän jälkeen hän kutsui funktiota, joka sai sillan varannot siirtymään eränä hyökkääjän lompakkoon. GoPlus piti syynä erittäin todennäköisesti joko ketjujen välisen viestin validoinnin epäonnistumista, nostologiikan ohitusta tai pääsynhallinnan heikkoutta.
Blockaid täsmensi arviotaan jälkikäteen. Kyse ei ollut allekirjoituksen tai avaimen murtamisesta, vaan puuttuvasta lähdesumman validoinnista checkCCEValues-funktiossa.
– Tämä olisi korjattavissa noin kymmenellä rivillä Solidity-koodia, Blockaid totesi teknisessä arviossaan.
Turvayhtiö ExVul päätyi samaan johtopäätökseen. Sen mukaan hyökkääjä käytti väärennettyä ketjujen välistä tuontiviestiä, joka läpäisi sillan tarkistuksen ja laukaisi kolme erillistä siirtoa varannoista. ExVul suositteli sillalle tiukempaa viestin validointia, monikerroksista tarkistusta ja hätäpysäytystä epätavallisille siirroille.
Siltahyökkäykset eivät katoa
Vuonna 2023 avattu Verus-Ethereum-silta yhdistää Verus-verkon ja Ethereumin. Verus-tiimi ei ollut julkisesti kommentoinut tapausta tätä artikkelia kirjoitettaessa.
Blockaid vertasi hyökkäystä vuoden 2022 Nomad- ja Wormhole-tapauksiin. Niissäkin väärennetyt siirto-ohjeet huijasivat protokollat vapauttamaan varantovaroja. Miksi sama virhe toistuu vuodesta toiseen? Sillat lupaavat siirtää varoja ketjujen välillä luotettavasti, mutta yksikin tarkistamaton viestikenttä riittää tyhjentämään ne.
Luvut kertovat ongelman laajuudesta. Kryptohakkerit veivät vuoden 2026 ensimmäisellä neljänneksellä yli 168,6 miljoonaa dollaria 34 DeFi-protokollasta.
Samana viikonloppuna myös ketjujenvälinen likviditeettiprotokolla THORChain vahvisti erillisen, noin 10 miljoonan dollarin hyökkäyksen. Kahden hyökkäyksen osuminen samalle viikonlopulle ei ole sattumaa, vaan kertoo siitä, että ketjuja yhdistävät rakenteet ovat edelleen hyökkääjien helpoin maali.
Verus-tapauksessa korjaus on Blockaidin mukaan pieni, ja sama tilanne toistuu jatkossakin niin kauan kuin sopimuksia julkaistaan ilman riittävää tarkistusta. Siltojen ja yhteentoimivuusrakenteiden turvallisuus on sitten toistaiseksi DeFi-sektorin avoin haava.
