DeFi(分散型金融)プロトコル「Verus」は18日、Verusとイーサリアム( ETH )の間のブリッジが侵害されたと報告した。ETH、USDC、tBTCなどがイーサリアム側のコントラクトから盗まれたと述べている。
また、Verusネットワークは停止しており、多くのブロック生成ノードがオフラインになっているとも続けた。Verusのチームは、被害の範囲を調査中であり、詳細がわかり次第情報を更新するとしている。
今回の状況に乗じて、チームやコミュニティを装い「返金」を申し出る者は詐欺師であるとも注意を呼びかけた。
複数のブロックチェーンセキュリティ企業によると、これまでに約1,158万ドル(約18億円)が流出したとみられる。
ブロックチェーンセキュリティ企業PeckShieldは、Verusのイーサリアムブリッジから103.6tBTC、1,625ETH、147,000USDCが流出したと報告。犯人は盗んだ資産を5,402ETH(約1,140万ドル相当)に交換したとも付け加えた。
また、犯人のアドレスには約14時間前に暗号資産(仮想通貨)ミキシングサービスのトルネードキャッシュ経由で1ETHが最初に入金されていたことも指摘した。
セキュリティ企業GoPlusは、犯人はブリッジコントラクトに少額のトランザクションを送信し、特定の関数を呼び出して、コントラクトの準備資産を資金吸い上げ用ウォレットに一括送信させた可能性があると指摘している。
「クロスチェーンメッセージの検証あるいは署名偽造、引き出しロジックのバイパス、またはアクセス制御の欠陥である可能性が高い」とも述べた。
Verusは2018年にローンチされたプライバシー重視のブロックチェーンだ。2023年にはイーサリアムとの間のブリッジをローンチし、Verusネットワークとイーサリアムネットワーク間で資産の送受信・変換を可能にした。
PeckShieldは、2026年に入ってから、すでに8件の大規模なブリッジ関連の脆弱性を狙う攻撃が発生していると指摘。ハッカーはクロスチェーンプロトコルから推計3億2,860万ドル(約522億円)を不正に引き出したと述べた。
最大のものは、4月に発生したイーサリアムのリキッド・リステーキング(Liquid Restaking)プロトコルKelp DAOへの攻撃だ。犯人は2.9億ドル(461億円)以上のrsETHを不正に入手している。
また5月に入ってからは、クロスチェーン流動性プロトコルのソーチェーン(THORChain)から推定約1,070万ドル(約17億円)が不正流出した。
仮想通貨業界へのサイバー攻撃の背後には北朝鮮のハッカー集団の存在が指摘されることも多い。AI(人工知能)も用いて攻撃を巧妙化させているとされる。
