资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Verus Protocol以太坊桥遭遇攻击 损失超1150万美元
安全研究人员指出,Verus Protocol的以太坊跨链桥因伪造的跨链传输消息遭受攻击,导致攻击者窃取了价值超过1150万美元的加密资产。
据区块链安全公司Blockaid、PeckShield和ExVul分析,此次漏洞源于桥接验证过程中缺失的有效性检查环节。Blockaid的监控系统于上周日晚间检测到与Verus-Ethereum桥相关的可疑活动,随后确认攻击事件。攻击者钱包地址被标记为“0x5aBb…D5777”,被盗资金最初被转移至另一个标注为“0x65C…C25F9”的地址。
PeckShield披露的数据显示,被盗资产包括103.6枚tBTC、1625枚ETH及近14.7万枚USDC。该机构后续报告称,攻击者已将盗取的代币兑换为5402枚ETH,按当前价格计算价值约1140万美元。值得关注的是,在攻击发生前数小时,攻击者钱包曾通过加密混币器Tornado Cash接收了1枚ETH,这一特征常见于试图掩盖交易来源的攻击事件。
攻击手法分析
GoPlus Security的进一步分析表明,攻击者首先向桥接合约发送了一笔低价值交易,随后调用某个函数导致储备资产被批量转移至盗取者钱包。该机构认为漏洞极可能与跨链消息验证失效、提款逻辑绕过或桥接机制内的访问控制缺陷相关。
Blockaid提供了更具体的解释,指出此次事件与2022年Nomad桥和Wormhole攻击事件相似,均是通过伪造传输指令诱使协议释放储备资金。在后续技术评估中,Blockaid排除了ECDSA绕过、公证密钥泄露及解析器/哈希绑定错误等可能性,将根本原因归结为“checkCCEValues函数中缺失源金额验证”——据称该缺陷仅需约10行Solidity代码即可修复。
ExVul得出了相似结论,称攻击者使用“伪造的跨链导入载荷”成功通过桥接验证流程,最终触发了三笔从桥接储备金向攻击者控制钱包的独立转账。该机构建议跨链证明系统应在释放资金前将转账执行与认证载荷数据直接绑定,同时加强载荷验证、实施分层验证保护,并为异常转出交易设置紧急暂停机制。
跨链桥安全问题持续冲击DeFi领域
Verus-Ethereum桥于2023年上线,支持用户在Verus网络与以太坊之间转移和转换资产。该协议最初于2018年推出,采用工作量证明与权益证明混合的共识模型。截至发稿时,Verus团队尚未对攻击事件公开置评。
本次事件发生的2026年已出现多起重大去中心化金融安全漏洞。补充报告中引用的安全追踪数据显示,仅2026年第一季度,黑客就从34个DeFi协议中窃取了超过1.686亿美元资产。今年最大的两起攻击均发生在四月,包括据称造成2.8亿美元损失的Drift Protocol漏洞以及导致2.92亿美元损失的Kelp攻击事件。
上周末,跨链流动性协议THORChain也确认遭受另一起价值1000万美元的攻击,这加剧了DeFi行业对跨链桥及互操作性基础设施安全性的普遍担忧。
