安全公司Blockaid确认,5月18日,Verus-Ethereum桥接遭遇协同攻击,损失约1150万美元。攻击者在数小时内将被盗的Verus资产转换为以太坊,并通过隐私混合器Tornado Cash转移资金,这大大增加了追回难度。
攻击如何发生
关于漏洞的细节目前仍不明确。已知的是,攻击者瞄准了桥接的跨链逻辑,在一次精心策划的操作中窃取了资金。Verus代币被截获后,立即在去中心化交易所换成了ETH。Blockaid发现了这一转换,并追踪到攻击者钱包的下一个动作:将资金存入Tornado Cash。
Tornado Cash的关联
像Tornado Cash这样的隐私混合器是洗白被盗加密货币的常用工具。Blockaid的分析将攻击者的钱包直接与混合器关联,使得进一步冻结或追踪资金几乎不可能。这是一种常见的模式——但此次洗钱的速度尤为突出。攻击发生数小时内,资产已被混淆,难以追查。
截至周二上午,Verus-Ethereum桥接仍在运行,但用户报告交易确认出现延迟。Verus团队尚未发表官方声明。Blockaid表示正在监控攻击者钱包的进一步动向。此次攻击再次提醒人们,跨链桥仍然是主要攻击目标——一旦资金进入混合器,追回几乎无望。
