Verusブリッジ攻撃の背後にいた犯人は、プロジェクトチームが提案した報奨金(バウンティ)の和解金を受け入れた後、4,052 ETH(約850万ドル)を返還した。ブロックチェーンのセキュリティ企業PeckShieldによると、攻撃者は交渉された合意の一部として、1,350 ETH(およそ280万ドル)を保持していた。Verusは、エクスプロイトが発生して間もなく和解条件を提示し、盗まれた資金が24時間以内に返却されれば、残額は盗難資産ではなく正当なホワイトハットの報奨金として扱うと提案した。今回のエクスプロイトは、偽造されたクロスチェーン転送の脆弱性を通じてVerus-Ethereumブリッジを狙い、分散型金融(DeFi)インフラにおける継続的なセキュリティ上のリスクを浮き彫りにした。
Verusのエクスプロイターがほとんどの盗難ETHを返還
攻撃者は、プロジェクトが公に和解案を提案した後、4,052 ETHをVerusチームのウォレットへ送金し直した。合意により、攻撃中に失われた総資金の約75%をVerusが回収できるとされた。盗難資産の大半を返還する見返りとして、エクスプロイターは1,350 ETHを報奨金の取り決めとして保持した。
悪用された脆弱性は、いわゆる偽造されたクロスチェーン転送メカニズムによってVerus-Ethereumブリッジを対象としていた。クロスチェーンブリッジは、流動性の大量を管理しながら別々のブロックチェーンのエコシステム同士をつなぎ、分散型金融分野では攻撃者にとって頻繁に狙われる存在になっている。
ブリッジの脆弱性と攻撃ベクトル
Verusの件では、Verus-Ethereumブリッジに固有の偽造されたクロスチェーン転送の脆弱性が関与していた。クロスチェーンブリッジは、複数のブロックチェーンネットワークにまたがって大きな流動性を扱うため、分散型金融における最も一般的な攻撃ベクトルの一つとなっている。ブリッジを狙ったエクスプロイトは、近年何度も数百万ドル規模の損失につながっている。
より広いDeFiのセキュリティ状況
Verusのエクスプロイトは、暗号資産業界に影響する継続的なセキュリティ懸念のさなかで発生した。DefiLlamaのデータによれば、分散型金融のハックは4月だけで約6億3400万ドルの盗難資金に達した。最大級の2つのインシデントには、Drift Protocolに対する2億8000万ドルのエクスプロイトと、Kelpに関わる2億9300万ドルのエクスプロイトが含まれている。5月の損失はこれまで約3800万ドルまで減少したものの、セキュリティ脆弱性は分散型プラットフォームに影響し続けている。
こうした継続的な攻撃は、ブロックチェーン技術の主流への普及にとって大きな障壁となっている。DeFiプロトコルやクロスチェーンのインフラへより多くの価値が流れ込むにつれ、プロジェクトにはスマートコントラクトのセキュリティ、監査基準、ブリッジ保護を強化するための圧力が高まっていく。
