Зловмисники, які атакували Verus через міст, повернули 75% викрадених коштів, 1350 монет залишено як винагороду

PeckShield 22 травня здійснив моніторинг і підтвердив, що атакувальник у Verus — атакувальник Verus-уперекстного (кросчейн) моста між Ethereum — повернув на офіційну адресу Verus 4 052,4 ETH (приблизно 8,5 млн доларів США). Це становить 75% від загальної суми 5 402,4 ETH викрадених активів після їхнього об’єднання; решта 1 350 ETH (приблизно 2,85 млн доларів США, 25%) як винагорода за вразливість залишилась у гаманці атакувальника.

Механізм атаки: як прогалину в перевірці входу використали для викрадення активів на десятки мільйонів за низьку вартість

Офіційні представники Verus і ончейн-аналітики підтвердили: цього разу атака не була спричинена витоком приватних ключів або підробкою підписів, а полягала у використанні структурної вразливості в «прогалині в перевірці входу» мостового смартконтракту. Атакувальник у мережі Verus ініціював справжню низьковартісну транзакцію (приблизно 0,01 долара США у VRSC), але в Payload (корисному навантаженні) кросчейн-переказу впровадив кількість токенів, значно вищу за фактичну суму блокування. Мостовий контракт на етапі валідації не зміг перевірити, чи заявлена в Payload сума відповідає реальній сумі блокування в джерельній мережі. У підсумку його ввели в оману та розблокували резервні кошти, що суттєво перевищували суму фактично переказаного. Після події мережа Verus тимчасово зупинила роботу, а більшість вихідних (видобувних) вузлів добровільно вийшли з мережі, щоб запобігти подальшим втратам.

Оновлені умови ончейн-переговорів щодо винагороди та межі безвідповідальності

У пропозиції від 21 травня Verus підтвердив такі умови, які були оприлюднені як офіційна угода в ончейн-реєстрі в мережі Ethereum:

Вимога про повернення: 4 052,4 ETH мають бути повернуті на визначену адресу до кінцевого терміну 24 години

Визнання винагороди: після завершення повернення Verus офіційно визнає як законну винагороду за вразливість 1 350 ETH, які були вилучені

Зобов’язання щодо розслідування: Verus докладе максимум зусиль, щоб зупинити чинне розслідування та не ініціювати нове

Юридичне зобов’язання: Verus уникатиме подання позовів

Публічне оголошення: Verus публічно визнає винагороду/характерність вилучених коштів як винагороду

Важлива межа: ці зобов’язання не обмежують дії органів правозастосування, бірж, постачальників інфраструктури чи інших третіх сторін — ця угода відображає лише позицію офіційного представництва Verus

Поширені запитання

Який конкретний технічний зміст має прогалина в перевірці входу в кросчейн-мості Verus?

Прогалина в перевірці входу (Validation Gap) — це ситуація, коли мостовий смартконтракт під час обробки запиту на кросчейн-переказ не порівнює й не верифікує суму токенів, заявлену в Payload, із реальною сумою токенів, заблокованих у джерельній мережі. Це дозволяє атакувальнику розпочати в джерельній мережі законну транзакцію на дуже низьку суму (приблизно 0,01 долара США), одночасно в Payload заявляти суму, значно вищу за фактичну. У результаті мостовий контракт у цільовій мережі помилково довіряє числам у Payload і розблоковує резервні кошти, що істотно перевищують фактичне значення. Подібні вразливості є дефектами конструкції на рівні логіки смартконтрактів і належать до того самого типу схем атак через міст, що й «прогалина в перевірці повторного повідомлення» (Retry Message Validation Gap) у Map Protocol Butter Bridge V3.1.

Чи є співвідношення 25% винагороди типовим рішенням у DeFi-переговорах щодо атак через міст?

Частка винагороди 25% у традиційних проєктах щодо bounty/вразливостей є відносно високою, але в переговорах з повернення коштів у випадку, коли активи вже об’єднані й їх важко заморозити, це не є рідкістю. За таких обставин проєкт зазвичай обмінює винагороду на те, що атакувальник добровільно поверне кошти, щоб уникнути їхнього повного зникнення через міксери або інструменти приватності. Раніше подія з Renegade dark pool також використовувала схожу ончейн-модель переговорів: дозволяючи атакувальнику залишити частину активів як плату, вони змогли повернути більшу частину коштів.

Чи можуть договірні зобов’язання Verus ефективно захистити атакувальника від правового переслідування?

У своїй угоді Verus чітко заявляє, що її зобов’язання (зупинити розслідування, не подавати позов) стосуються лише самого Verus як проєкту й не можуть обмежувати органи правозастосування, біржі, системи KYC чи постачальників аналізу блокчейну та інших третіх сторін. Це означає, що якщо після повернення коштів ончейн-дії атакувальника залишаються відстежуваними органами правозастосування, біржами через їхні KYC-системи або компаніями з аналізу в блокчейні, договірні зобов’язання Verus не можуть бути підставою для звільнення від відповідальності. До того, як атакувальник погодився на умови винагороди, за 14 годин він використав Tornado Cash для мікшування початкових коштів, що саме по собі може ускладнити подальше правозастосовче відстеження.