Der Verus Bridge Hack hat eine Cross-Chain-Brücke zwischen dem Verus-Netzwerk und Ethereum getroffen und Mittel im Wert von rund 11,58 Mio. US-Dollar abfließen lassen. Unter dem Diebesgut befanden sich 103,6 tokenisierte Bitcoin, dazu 1.625 ETH und etwa 147.000 USDC. Einen Teil der Summe gab der Angreifer inzwischen zurück.

Verus Bridge Hack: 103,6 tokenisierte Bitcoin unter den Verlusten

Der Angreifer tauschte die entwendeten Vermögenswerte zunächst in rund 5.402 ETH und bündelte sie in einer Wallet. Wenige Tage später überwies er 4.052 ETH zurück, etwa 75 Prozent der Summe. Das meldete die Sicherheitsfirma PeckShield.

Vorausgegangen war ein Angebot des Verus-Teams: Bei Rückgabe binnen 24 Stunden werde man die Untersuchung einstellen, auf Strafverfolgung verzichten und die verbleibenden 1.350 ETH, rund 2,8 Mio. US-Dollar, öffentlich als Belohnung anerkennen. Die Bezeichnung als Bug Bounty ist dabei eine Umdeutung.

Funktional behielt der Angreifer ein Viertel der gestohlenen Mittel, das Projekt verzichtete auf Verfolgung. Solche Absprachen sind im DeFi-Sektor inzwischen ein verbreitetes Kriseninstrument.

Verus Bridge Hack: Kein Schlüsseldiebstahl, sondern eine Validierungslücke

*Anzeige

Der Verus Bridge Hack beruhte nicht auf einem Schlüsseldiebstahl und auch nicht auf einem gebrochenen Signaturverfahren. Nach Analysen prüfte der Vertragscode auf Ethereum die notarisierte Zustandswurzel des Verus-Netzwerks korrekt, ebenso den kryptografischen Nachweis und die Integrität der Transaktionsdaten.

Was fehlte, war eine Prüfung, ob der auf der Quellkette ausgewiesene Betrag dem auf Ethereum ausgezahlten Betrag entsprach. Genau diese Bridge-Schwachstelle in einer Funktion namens checkCCEValues nutzte der Angreifer, indem er eine Transaktion mit leeren quellseitigen Beträgen einreichte.

Kryptografische Gültigkeit und wirtschaftliche Gültigkeit sind eben nicht dasselbe. Dieselbe Klasse von Fehler hatte 2022 bereits die Brücken Wormhole und Nomad getroffen. Laut der untersuchenden Firma hätten rund zehn Zeilen zusätzlicher Programmcode den Abfluss verhindert.

Acht von fünfzehn Notaren signierten: Verus Bridge Hack im Detail

Acht von fünfzehn Notaren signierten den Zustand, auf den sich die gefälschte Auszahlung stützte. Die Signaturen waren gültig, nur die zugrunde liegende Wertbindung fehlte. Damit reiht sich der Verus Bridge Hack in ein Rekordjahr ein: Allein bis Mitte Mai zählte PeckShield acht Bridge-Angriffe mit zusammen 328,6 Mio. US-Dollar.

Für Bitcoin-Halter liegt die eigentliche Lehre in der Natur des betroffenen Vermögens. Bei den 103,6 entwendeten Einheiten handelte es sich um tokenisiertes Bitcoin, also um eine auf Ethereum nachgebildete Forderung, deren Sicherheit von der fremden Brücke abhängt. Natives Bitcoin auf der eigenen Basisschicht kennt diese Konstruktion nicht: kein Smart Contract, der Reserven verwaltet, kein Notarensatz, der kompromittiert werden kann, keine zweite Kette, die zwischengeschaltet ist.

Je mehr Brücken, Verträge und Mittelsmänner ein System einbaut, desto größer wird die Angriffsfläche und desto mehr Vertrauen muss vorausgesetzt werden. Wer Bitcoin in Selbstverwahrung hält, trägt dieses zusätzliche Risiko schlicht nicht.

Die Knappheit des Geldes bleibt davon unberührt, verlagert wird allein die Frage, wem man die Verwahrung anvertraut.

Wir berichteten über die zunehmende Abkehr von zentraler Verwahrung.

Unser Qualitätsanspruch

Unsere Redaktionsrichtlinien bei Krypto Guru zielen darauf ab, Dir präzise, gut recherchierte und objektive Informationen im Bereich Kryptowährungen zu bieten. Jedes Stück Inhalt wird von einem Team aus erfahrenen Krypto-Experten und Redakteuren sorgfältig geprüft, um sicherzustellen, dass Du nur die verlässlichsten und aktuellsten Informationen erhältst. So kannst Du sicher sein, dass die Inhalte, die Du bei uns findest, nicht nur relevant, sondern auch von echtem Mehrwert für Dich sind.

Telegram Channel

Komm in unseren kostenlosen Telegram Channel und erhalte die News als erster!

Aktuelle News

Weitere aktuelle News

Weitere News