Un exploit coordinato ha prosciugato circa 11,5 milioni di dollari dal bridge Verus-Ethereum il 18 maggio, ha confermato la società di sicurezza Blockaid. L'attaccante ha convertito gli asset Verus rubati in Ethereum nel giro di poche ore dalla violazione e ha spostato i fondi attraverso Tornado Cash, un mixer di privacy che complica gli sforzi di recupero.
Come si è svolto l'exploit
I dettagli sulla vulnerabilità sono ancora scarsi. Quello che è chiaro è che l'attaccante ha preso di mira la logica cross-chain del bridge, sottraendo fondi in un'unica operazione ben programmata. Una volta sequestrati i token Verus, sono stati scambiati con ETH su exchange decentralizzati. Blockaid ha intercettato la conversione e ha segnalato la mossa successiva del wallet: un deposito in Tornado Cash.
Il collegamento con Tornado Cash
I mixer di privacy come Tornado Cash sono lo strumento preferito per riciclare criptovalute rubate. L'analisi di Blockaid collega direttamente il wallet dell'attaccante al mixer, rendendo quasi impossibile congelare o tracciare ulteriormente i fondi. Questo è uno schema familiare, ma qui colpisce la velocità del riciclaggio. Nel giro di poche ore dall'exploit, gli asset sono stati offuscati oltre ogni possibilità di recupero.
Martedì mattina il bridge Verus-Ethereum è ancora operativo, anche se gli utenti hanno segnalato ritardi nella finalità delle transazioni. Non è ancora arrivata alcuna dichiarazione ufficiale dal team di Verus. Blockaid afferma di monitorare il wallet dell'attaccante per eventuali ulteriori movimenti. L'exploit è l'ultimo promemoria che i bridge cross-chain rimangono bersagli principali e che il recupero, una volta che i fondi finiscono in un mixer, è praticamente impossibile.
