PeckShield 22 мая зафиксировала и подтвердила: атакующий кроссчейн-моста Verus (между цепочками Verus и Ethereum) вернул на официальный адрес Verus 4 052,4 ETH (около 8,5 млн долларов). Это составляет 75% от общего объёма средств, похищенных после объединения активов: 5 402,4 ETH. Оставшиеся 1 350 ETH (около 2,85 млн долларов, 25%) сохранены в кошельке атакующего в качестве бounti за найденную уязвимость.
Механика атаки: как структурная брешь в валидации входных данных позволила украсть активы на десятки миллионов с низкими затратами
Официальные представители Verus и ончейн-аналитики подтвердили, что в этот раз атака не связана с утечкой приватных ключей или подделкой подписи. Речь идёт об эксплуатации структурной уязвимости «входной проверки» в смарт-контракте моста: атакующий на сети Verus инициировал реальную транзакцию с низкой ценностью (около 0,01 доллара в VRSC), но в Payload (полезной нагрузке) кроссчейн-перевода внедрил количество токенов, существенно превышающее фактическую сумму блокировки. При этом мостовой контракт на этапе валидации не смог проверить, совпадают ли заявленные в Payload суммы с суммами, которые реально были заблокированы на исходной цепочке. В результате ему поверили и он освободил средства резервного моста на сумму, многократно превышающую размер фактического входящего перевода. После инцидента сеть Verus временно приостановили; большинство валидирующих/производящих блоки узлов добровольно отключились, чтобы предотвратить дальнейшие потери.
Подтверждённые условия ончейн-переговоров по награде и границы оговорок
В ончейн-предложении от 21 мая Verus подтвердил следующие условия. Они уже опубликованы в официальном виде как запись в блокчейне Ethereum:
Требование о возврате: 4 052,4 ETH должны быть возвращены на указанный адрес в течение 24-часового дедлайна
Признание награды: после завершения возврата Verus официально признает 1 350 ETH, которые были удержаны, законной наградой за уязвимость
Обязательство по расследованию: Verus приложит максимум усилий, чтобы остановить текущее расследование и не запускать новое
Юридическое обязательство: Verus обязуется не подавать иск
Публичное заявление: Verus публично признает характер награды удержанных средств
Важная граница: указанные обязательства не связывают правоохранительные органы, биржи, провайдеров инфраструктуры или иных третьих лиц — это соглашение отражает только позицию официальных представителей Verus
Вопросы и ответы
Каков конкретный технический смысл «бреши во входной валидации» у кроссчейн-моста Verus?
Брешь во входной валидации (Validation Gap) — это ситуация, когда мостовой контракт при обработке запроса на кроссчейн-перевод не сверяет и не подтверждает соответствие между суммой токенов, указанной в Payload, и суммой токенов, фактически заблокированных на исходной цепочке. Это позволяет атакующему отправить на исходной цепочке легитимную транзакцию на крайне малую сумму (около 0,01 доллара), одновременно указав в Payload сумму, значительно превышающую реальную. Контракт моста на целевой цепочке ошибочно принимает эти цифры из Payload и выпускает резервные средства на сумму, существенно выше фактической. Такие уязвимости относятся к дефектам на уровне логики смарт-контрактов и относятся к тому же типу схемы мостовых атак, что и «брешь в проверке повторных сообщений» в Map Protocol Butter Bridge V3.1.
Является ли доля награды 25% в DeFi-переговорах по мостовым атакам распространённой договорённостью?
Доля награды 25% — это относительно высокая величина для традиционных кейсов с выплатой за уязвимости, но в переговорах по возврату средств в рамках мостовых атак, когда активы уже объединены и трудно поддаются заморозке, это не редкость. В подобных случаях команда проекта обычно предлагает награду в обмен на добровольный возврат со стороны атакующего, чтобы средства не исчезли окончательно через миксеры или инструменты конфиденциальности. Ранее инцидент с Renegade Dark Pool также использовал похожую ончейн-схему переговоров: разрешив атакующему оставить часть активов в качестве цены, удалось вернуть значительную долю средств.
Могут ли договорные обязательства Verus эффективно защитить атакующего от судебного преследования?
В соглашении Verus прямо заявляет, что её обязательства (остановить расследование, не подавать иск) ограничивают только самих представителей проекта Verus и не распространяются на правоохранительные органы, биржи, системы KYC или другие третьи стороны — провайдеров блокчейн-инфраструктуры и иных контрагентов. Это означает, что если после возврата средств ончейн-деятельность атакующего будет всё равно отслежена правоохранительными органами, биржами через KYC-системы или ончейн-аналитическими компаниями, договорные обязательства Verus не могут служить основанием для освобождения от ответственности. Сам атакующий перед тем как принять условия награды, за 14 часов до этого использовал Tornado Cash для микширования исходных средств, что также может усложнить последующее правоохранительное отслеживание.
