De Verus Ethereum Bridge ligt onder vuur na een grote exploit waarbij inmiddels meer dan $11,5 miljoen aan crypto is buitgemaakt. Security bedrijven Blockaid en PeckShield sloegen alarm nadat grote hoeveelheden ETH, tBTC en USDC uit het bridge protocol verdwenen.
Volgens de eerste analyses wist de aanvaller een zwakke plek in de verificatie van cross chain transacties te misbruiken. De exploit lijkt daarmee sterk op eerdere grote bridge hacks zoals Wormhole in 2022 en de aanval op Nomad.
Ethereum is verkrijgbaar bij Bitvavo en Bybit.
Meer dan $11 miljoen aan crypto verdwenen
Blockaid meldde dat hun detectiesysteem een actieve exploit op de Verus Ethereum Bridge heeft vastgesteld. Volgens de onderzoekers is inmiddels ongeveer $11,58 miljoen buitgemaakt.
PeckShield bevestigt ondertussen dat de aanvaller onder meer 103,6 tBTC, 1.625 ETH en ongeveer 147.000 USDC wist weg te halen uit het bridge protocol.
De gestolen assets werden vervolgens omgewisseld naar ongeveer 5.402 ETH, met een huidige waarde van ongeveer $11,4 miljoen. De fondsen staan momenteel opgeslagen op wallet adres 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.
Volgens de onderzoekers werd het wallet adres van de aanvaller ongeveer 14 uur voor de aanval gefinancierd met 1 ETH via Tornado Cash.
Exploit zat in verificatie van cross chain waarde
Blockaid stelt dat de oorzaak waarschijnlijk ligt in een ontbrekende controle binnen het smart contract van de bridge. Hoewel het protocol correct controleerde of de cryptografische handtekeningen en Merkle proofs geldig waren, werd niet geverifieerd of de daadwerkelijke waarde op de bron chain overeenkwam met de uitbetalingen op Ethereum.
Daardoor kon de aanvaller een transactie construeren met vrijwel lege bronwaarden, terwijl de bridge alsnog volledige uitbetalingen uitvoerde vanuit de reserves.
Volgens Blockaid kostte de aanval de hacker slechts ongeveer $10 aan VRSC transactiekosten, terwijl de buit opliep tot ruim $11,5 miljoen.
De onderzoekers maken duidelijk dat het niet gaat om een lek in ECDSA handtekeningen, een compromis van notary keys of een hash bug. Het probleem zou specifiek zitten in ontbrekende validatie van bronbedragen binnen de Solidity code van het protocol. Zulke kwetsbaarheden zorgen vaker voor grote problemen binnen smart contracts.
Bridges blijven populair doelwit voor hackers
Cross chain bridges behoren al jaren tot de meest aangevallen onderdelen van de cryptosector. Omdat bridges grote reserves aan tokens beheren en complexe verificaties uitvoeren tussen blockchains, vormen ze een aantrekkelijk doelwit voor hackers.
De aanval op Verus Ethereum Bridge vertoont volgens onderzoekers duidelijke overeenkomsten met eerdere exploits waarbij protocollen onvoldoende controleerden of transactiewaarden correct waren gekoppeld tussen verschillende netwerken. Recent ontstond ook onrust nadat THORChain het netwerk tijdelijk stillegde na een exploit van meer dan $10 miljoen.
Voorlopig blijft onduidelijk of de gestolen fondsen nog kunnen worden bevroren of teruggehaald. Het Verus team heeft op het moment van schrijven nog geen volledig technisch post mortem gepubliceerd. Daarmee groeit opnieuw de aandacht voor crypto beveiliging en scams binnen de sector.
Blijf altijd op de hoogte van het laatste crypto nieuws via Google Nieuws.
Ontvang 10 euro gratis Ethereum
Jouw cryptoavontuur starten met โฌ10 gratis Ether? In samenwerking met Bitvavo mogen wij vandaag 10 euro aan gratis Ethereum of een andere crypto weggeven aan onze lezers (na een storting van minimaal 10 euro).ย
Maak via onderstaande knop een account aan en je ontvangt een welkomstbonus van 10 euro. Ook handel je de eerste โฌ10.000 binnen de eerste 7 dagen na je registratie helemaal gratis (t.w.v. โฌ25). Alle voorwaarden vind je op de pagina onder de knop.