Хакеры вывели $11,5 млн из протокола Verus
DeFi-протокол Verus потерял около $11,5 млн в результате атаки на кроссчейн-мост с Ethereum. Об этом сообщили специалисты по кибербезопасности из Blockaid, PeckShield и GoPlus.
🔎 Verus-Ethereum Bridge $11.58M drain — Suspected root cause
— Blockaid (@blockaid_) May 18, 2026
Same class as Wormhole-2022 / Nomad-2022: source ↔ destination economic-value binding gap.
What the bridge correctly verifies:
✓ Notarized Verus state root (8/15 valid notary sigs, all cryptographically sound)
✓…
По данным PeckShield, хакер вывел 103,6 tBTC, 1625 ETH и 147 000 USDC, после чего обменял активы на 5402 ETH. На момент публикации средства находятся на кошельке злоумышленника.
#PeckShieldAlert The @veruscoin Verus-Ethereum Bridge has been drained for 103.6 $tBTC, 1.625K $ETH, and 147K $USDC.
— PeckShieldAlert (@PeckShieldAlert) May 18, 2026
The exploiter swapped the stolen assets for 5,402.4 $ETH (~$11.4M), which currently sits in 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.
The attacker’s address… https://t.co/DK0CDUAcqb pic.twitter.com/NMa8abhaTH
Средства для оплаты комиссий он получил через миксер Tornado Cash за 14 часов до взлома.
Эксперты GoPlus пояснили, что атакующий отправил транзакцию с низкой стоимостью и вызвал функцию контракта для массового вывода резервов. Вероятной причиной инцидента называют уязвимость в логике снятия средств или подделку подписи при проверке межсетевых сообщений.
🚨GoPlus安全警报:@veruscoin 的 Verus-Ethereum Bridge 被攻击,损失约1150万美元
— GoPlus中文社区 (@GoPlusZH) May 18, 2026
攻击者通过桥合约单笔交易从 Ethereum 侧转移大量资产(1,625 ETH + 103.57 tBTC + 147k USDC)。
这是 2026 年桥相关攻击的又一典型案例,此前 Kelp DAO、Hyperbridge 等桥已累计损失数亿美元。… pic.twitter.com/SB7JmfHggl
Разработчики Verus ситуацию не прокомментировали. Мост между сетями Verus и Ethereum запустили в октябре 2023 года. Сам протокол работает с 2018 года и ориентирован на конфиденциальность пользователей.
Индустрия децентрализованных финансов регулярно сталкивается с подобными угрозами. Общая сумма заблокированных в DeFi средств, потерянных в результате взломов, составляет более $7,7 млрд.
При этом на уязвимости кроссчейн-мостов приходится более $3,2 млрд убытков.
Напомним, в апреле Kelp подвергся взлому, за которым предположительно стоит группировка Lazarus Group. Инцидент стал крупнейшим в DeFi-секторе с начала года.
В мае злоумышленники вывели $10 млн из кроссчейн-протокола THORChain. Разработчики проекта подтвердили взлом и опровергли запуск программы возмещения ущерба.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!
