Isang koordinadong pagsasamantala ang nag-ubos ng humigit-kumulang $11.5 milyon mula sa Verus-Ethereum bridge noong Mayo 18, kung saan iniugnay ng security firm na Blockaid ang wallet ng umaatake sa Tornado Cash.
Na-flag na Live: Inilipat ng umaatake ang $11.5M sa ninakaw na mga asset ng Verus patungo sa ETH kasunod ng pag-set up ng Tornado Cash
ISINULAT NI
IBAHAGI
Mahahalagang Punto
Kinonvert ng Umaatake ang Nakuha sa ETH at Lumitaw ang Bakas ng Tornado Cash
Naubos ang Verus-Ethereum bridge ng humigit-kumulang $11.5 milyon sa isang koordinadong pagsasamantala, kung saan kinumpirma ng analytics na ang umaatake ay kumuha ng 103.6 tBTC, 1,625 ETH, at 147,000 USDC mula sa bridge bago kinonvert ang lahat ng ninakaw na asset tungo sa humigit-kumulang 5,402 ETH (tinatayang nagkakahalaga ng $11.4 milyon) na hawak sa wallet address na 0x65Cb25F9.
Ang security firm na Blockaid ay naglabas ng alerto sa komunidad na tinukoy ang pag-atake habang ito ay nagaganap, at kalaunan ay kinumpirma na ang wallet ng umaatake ay unang na-seed ng 1 ETH sa pamamagitan ng Tornado Cash, isang desentralisadong cryptocurrency mixer na nagpapahintulot sa mga gumagamit na ikubli ang pinagmulan ng pondo.
Ang Tornado Cash ay lumitaw sa ilang laundering trail pagkatapos ng exploit ng ilang malalaking pagnanakaw sa crypto sa mga nakaraang taon. Sa kaso ng Verus, ang single-ETH seed ay tugma sa isang kilalang padron kung saan naghahanda ang mga umaatake ng “malinis” na wallet gamit ang mixer bago kumilos, na tinitiyak na walang direktang ugnayan sa pagitan ng pinanggalingan ng kanilang pondo at ng attack address.
Ang Verus ay isang hybrid blockchain na proof-of-work at proof-of-stake na nakatuon sa privacy at self-sovereign identity. Ang Ethereum bridge nito ay nagpapahintulot sa mga gumagamit na maglipat ng mga asset sa pagitan ng dalawang network upang ma-access ang mga desentralisadong finance (DeFi) protocol at mga oportunidad sa yield.
Kapansin-pansin ang bilis ng pagkonvert ng asset sa pag-atake sa Verus dahil ang lahat ng tatlong uri ng asset (ibig sabihin, wrapped bitcoin, ether, at mga stablecoin) ay naipagpalit sa iisang asset (ETH) sa maikling panahon, na nagpapaliit sa kakayahang masubaybayan sa iba’t ibang chain at pinapasimple ang landas patungo sa anumang magiging ruta ng laundering sa hinaharap.
Nagdagdag ang breach sa lumalalang padron ng mga pagkalugi na may kaugnayan sa bridge noong 2026, kung saan tinawag ng Certik ang bugso ng mga pag-atake noong Abril bilang isang “high-stakes shift” sa mga taktika ng cross-chain cybercrime, kung saan tina-target ng mga umaatake ang mga kahinaan sa bridge verification sa hindi pa nararanasang saklaw. Sa magkabilang panig, naitala ng Peckshield ang walong bridge exploit sa unang dalawang linggo ng Mayo, na may kabuuang $328.6 milyon.
Ang insidente sa Verus ang pinakabagong dagdag sa patuloy na tally na iyon.
