PeckShield vào ngày 22 tháng 5 đã theo dõi và xác nhận rằng kẻ tấn công đã tấn công cầu cross-chain của Verus–Ethereum đã hoàn trả lại 4.052,4 ETH về địa chỉ chính thức của Verus (khoảng 8,5 triệu USD), chiếm 75% tổng lượng 5.402,4 ETH sau khi tài sản bị đánh cắp được gộp lại; phần còn lại 1.350 ETH (khoảng 2,85 triệu USD, 25%) được giữ dưới dạng tiền thưởng lỗ hổng trong ví của kẻ tấn công.
Cơ chế tấn công: “lỗ hổng kiểm chứng đầu vào” được khai thác để chiếm đoạt tài sản trị giá hàng chục triệu với chi phí thấp như thế nào
Các xác nhận từ phía chính thức Verus và phân tích trên chuỗi cho thấy lần tấn công này không phải do rò rỉ khóa riêng hay giả mạo chữ ký, mà là nhắm vào một lỗ hổng mang tính cấu trúc trong hợp đồng cầu nối có tên là “lỗ hổng kiểm chứng đầu vào”: kẻ tấn công khởi tạo một giao dịch hợp lệ có giá trị thấp trên mạng Verus (khoảng 0,01 USD của VRSC), nhưng trong Payload (tải trọng) của chuyển khoản cross-chain, kẻ tấn công chèn vào số lượng token cao hơn nhiều so với số tiền thực tế được khóa; đồng thời hợp đồng cầu nối ở bước xác thực đã không kiểm tra xem số tiền được khai báo trong Payload có khớp với số tiền token thực tế được khóa trên chuỗi nguồn hay không, khiến hợp đồng bị lừa để giải phóng các quỹ dự trữ của cầu lớn hơn nhiều so với số tiền thực tế chuyển vào. Sau khi sự việc xảy ra, mạng Verus đã tạm dừng tạm thời; đa số các node đúc khối rút tự nguyện để ngăn ngừa tổn thất thêm.
Các điều khoản đã được xác nhận trong đàm phán tiền thưởng trên chuỗi và ranh giới miễn trừ trách nhiệm
Verus trong đề xuất trên chuỗi ngày 21 tháng 5 đã xác nhận các điều khoản sau; những điều khoản này đã được đưa vào hồ sơ công khai dưới dạng thỏa thuận chính thức trên chuỗi Ethereum:
Yêu cầu hoàn trả: 4.052,4 ETH phải được hoàn trả về địa chỉ chỉ định trước thời hạn chót trong 24 giờ
Thừa nhận tiền thưởng: Sau khi hoàn tất việc hoàn trả, Verus sẽ công nhận chính thức 1.350 ETH bị giữ lại là tiền thưởng hợp pháp cho lỗ hổng
Cam kết điều tra: Verus sẽ nỗ lực tối đa để dừng các cuộc điều tra hiện có, tránh khởi động các cuộc điều tra mới
Cam kết pháp lý: Verus sẽ tránh khởi kiện
Tuyên bố công khai: Verus sẽ công khai thừa nhận bản chất tiền thưởng của số tiền bị giữ lại
Ranh giới quan trọng: Các cam kết nêu trên không ràng buộc các cơ quan thực thi pháp luật, sàn giao dịch, nhà cung cấp hạ tầng hoặc bất kỳ bên thứ ba nào khác — thỏa thuận này chỉ thể hiện quan điểm của phía chính thức Verus
Câu hỏi thường gặp
Ý nghĩa kỹ thuật cụ thể của “lỗ hổng kiểm chứng đầu vào” trên cầu cross-chain của Verus là gì?
Lỗ hổng kiểm chứng đầu vào (Validation Gap) là việc hợp đồng cầu không đối chiếu/đối chiếu xác thực số lượng token được khai báo trong Payload của yêu cầu chuyển khoản cross-chain với số lượng token thực tế được khóa trên chuỗi nguồn khi xử lý yêu cầu. Điều này cho phép kẻ tấn công khởi tạo trên chuỗi nguồn một giao dịch hợp lệ có giá trị cực thấp (khoảng 0,01 USD), đồng thời khai báo trong Payload một con số lớn hơn nhiều so với giá trị thực; hợp đồng cầu trên chuỗi đích tin nhầm các con số trong Payload, từ đó giải phóng số tiền dự trữ lớn hơn rất nhiều so với giá trị thực tế. Kiểu lỗ hổng này thuộc về khiếm khuyết thiết kế ở tầng logic hợp đồng thông minh, tương tự với kiểu tấn công cầu mà Map Protocol Butter Bridge V3.1 gọi là “lỗ hổng kiểm chứng tin nhắn thử lại”.
Tỷ lệ tiền thưởng 25% trong các cuộc đàm phán tấn công cầu DeFi có phải là sắp xếp phổ biến không?
Tỷ lệ tiền thưởng 25% là mức khá cao trong các dự án tiền thưởng lỗ hổng truyền thống, nhưng trong các cuộc đàm phán nhằm truy hồi các khoản tiền đã bị gộp lại và khó bị đóng băng thì không phải là hiếm. Trong những trường hợp như vậy, bên dự án thường dùng tiền thưởng để đổi lấy việc kẻ tấn công tự nguyện hoàn trả, nhằm tránh việc tiền bị mất hoàn toàn qua trộn tiền hoặc các công cụ về quyền riêng tư. Trước đó, sự cố Renegade dark pool cũng áp dụng mô hình đàm phán tương tự trên chuỗi: cho phép kẻ tấn công giữ lại một phần tài sản như một cái giá, qua đó hoàn tất phần lớn việc truy hồi tiền.
Các cam kết trong thỏa thuận của Verus có thể bảo vệ hiệu quả kẻ tấn công khỏi bị truy cứu pháp lý không?
Verus trong thỏa thuận đã nêu rõ ràng rằng các cam kết của họ (dừng điều tra, không nêu kiện) chỉ ràng buộc chính bản thân phía dự án Verus, không thể ràng buộc các cơ quan thực thi pháp luật, sàn giao dịch, hệ thống KYC, nhà cung cấp hạ tầng blockchain hoặc bất kỳ bên thứ ba nào khác. Điều này có nghĩa là nếu sau khi hoàn trả tiền, hành vi on-chain của kẻ tấn công vẫn bị các cơ quan thực thi pháp luật, hệ thống KYC của sàn giao dịch hoặc các công ty phân tích on-chain theo dõi ra, thì các cam kết của Verus không thể được dùng làm căn cứ miễn trừ. Trước khi chấp nhận sắp xếp tiền thưởng, kẻ tấn công cũng đã sử dụng Tornado Cash để trộn tiền ban đầu trong vòng 14 giờ trước đó, điều này bản thân có thể làm tăng thêm độ khó cho việc theo dõi truy vết thực thi pháp luật về sau.
