Хакеры вывели $11,5 млн из протокола Verus

DeFi-протокол Verus потерял около $11,5 млн в результате атаки на кроссчейн-мост с Ethereum. Об этом сообщили специалисты по кибербезопасности из Blockaid, PeckShield и GoPlus.

🔎 Verus-Ethereum Bridge $11.58M drain — Suspected root cause

Same class as Wormhole-2022 / Nomad-2022: source ↔ destination economic-value binding gap.

What the bridge correctly verifies:
✓ Notarized Verus state root (8/15 valid notary sigs, all cryptographically sound)
✓…

— Blockaid (@blockaid_) May 18, 2026

По данным PeckShield, хакер вывел 103,6 tBTC, 1625 $ETH и 147 000 $USDC, после чего обменял активы на 5402 $ETH. На момент публикации средства находятся на кошельке злоумышленника.

#PeckShieldAlert The @veruscoin Verus-Ethereum Bridge has been drained for 103.6 $tBTC, 1.625K $ETH, and 147K $USDC.

The exploiter swapped the stolen assets for 5,402.4 $ETH (~$11.4M), which currently sits in 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.

The attacker’s address… https://t.co/DK0CDUAcqb pic.twitter.com/NMa8abhaTH

— PeckShieldAlert (@PeckShieldAlert) May 18, 2026

Средства для оплаты комиссий он получил через миксер Tornado Cash за 14 часов до взлома.

Эксперты GoPlus пояснили, что атакующий отправил транзакцию с низкой стоимостью и вызвал функцию контракта для массового вывода резервов. Вероятной причиной инцидента называют уязвимость в логике снятия средств или подделку подписи при проверке межсетевых сообщений.

🚨GoPlus安全警报：@veruscoin 的 Verus-Ethereum Bridge 被攻击，损失约1150万美元

攻击者通过桥合约单笔交易从 Ethereum 侧转移大量资产（1,625 $ETH + 103.57 tBTC + 147k $USDC）。

这是 2026 年桥相关攻击的又一典型案例，此前 Kelp DAO、Hyperbridge 等桥已累计损失数亿美元。… pic.twitter.com/SB7JmfHggl

— GoPlus中文社区 (@GoPlusZH) May 18, 2026

Разработчики Verus ситуацию не прокомментировали. Мост между сетями Verus и Ethereum запустили в октябре 2023 года. Сам протокол работает с 2018 года и ориентирован на конфиденциальность пользователей.

Индустрия децентрализованных финансов регулярно сталкивается с подобными угрозами. Общая сумма заблокированных в DeFi средств, потерянных в результате взломов, составляет более $7,7 млрд.

При этом на уязвимости кроссчейн-мостов приходится более $3,2 млрд убытков.

Напомним, в апреле Kelp подвергся взлому, за которым предположительно стоит группировка Lazarus Group. Инцидент стал крупнейшим в DeFi-секторе с начала года.

В мае злоумышленники вывели $10 млн из кроссчейн-протокола THORChain. Разработчики проекта подтвердили взлом и опровергли запуск программы возмещения ущерба.