Хакеры вывели более $11 млн из протокола Verus через взлом моста

• Мост протокола Verus взломали с помощью транзакции на сумму более $11 млн.
• Позже они совершили обмен и вывели тысячи монет Ethereum.
• Также серия атак на криптомосты принесла хакерам более $328 млн.

Кроссчейн-мосты в криптоиндустрии переживают новую волну атак. На этом фоне очередной жертвой стал мост Verus-Ethereum, из которого хакеры вывели около $11,4 млн.

Как произошла атака

Аналитики PeckShield сообщили об «аномальном оттоке активов» из моста Verus-Ethereum. По их данным, протокол потерял 103,6 tBTC, 1625 $ETH и 147 000 $USDC.

После атаки украденные активы обменяли на 5402,4 $ETH на сумму около $11,4 млн. Средства перевели на отдельный адрес Ethereum, а стартовый кошелек злоумышленника пополнили через Tornado Cash примерно за 14 часов до взлома.

Один из пользователей X предположил, что масштаб Ethereum-резерва нападавшего свидетельствует об уверенности в безнаказанности:

«Анонимные свопы — это стратегия выхода, а не сам эксплойт».

В компании Blockaid заявили, что атака напоминает инциденты Wormhole 2022 года и Nomad 2022 года. По словам исследователей, проблема возникла из-за «разрыва между проверкой состояния сети и реальной экономической стоимостью активов».

Эксперты Blockaid пояснили, что мост корректно проверял:

• нотариально заверенный корневой сертификат Verus;
• доказательство Меркла относительно межсетевого экспорта;
• связь хешей транзакций.

Впрочем, система не проверяла, обеспечены ли выплаты реальными активами на стороне исходного блокчейна.

По оценке исследователей, злоумышленник создал транзакцию всего на 0,02 VRSC, но использовал механизм экспорта между сетями для получения активов из резервов моста. В результате мост «выплатил 1625 $ETH, 103 tBTC и 147 000 $USDC из своих резервов», тогда как расходы хакера составили примерно $10 комиссий.

В Blockaid подчеркнули:

«Это не обход ECDSA, не компрометация ключей нотариусов и не ошибка парсера/связи хешей. Проблема заключается в отсутствии проверки исходных сумм в checkCCEValues».

Инцидент стал очередным ударом по DeFi-сектору, который уже переживает рекордный всплеск атак. В апреле 2026 года крипторынок потерял более $635 млн из-за 28 отдельных взломов. Крупнейшими инцидентами стали атаки на Drift Protocol с потерями около $285 млн и Kelp DAO, где убытки также приблизились к $300 млн.

Кроме того, по данным PeckShield, в середине мая 2026 года количество крупных эксплойтов, связанных с межсетевыми мостами, достигло восьми, а совокупные потери превысили $328,6 млн.

Параллельно с атакой на Verus серьезный удар получил и кроссчейн-протокол THORChain. Ончейн-исследователь ZachXBT сообщил о вероятном эксплойте на сумму более $10,7 млн. PeckShield уточнила, что среди похищенных активов 36,75 BTC, а также около $7 млн в сетях BNB Chain, Ethereum и Base.

После инцидента THORChain временно приостановил торговлю, а токен RUNE потерял около 10% стоимости.

Отметим, рост числа атак способствовал тому, что криптокомпании начали активнее обмениваться разведданными о киберугрозах. Ripple сообщила о передаче информации об активности хакерских групп, связанных с Северной Кореей, в отраслевой центр Crypto ISAC. По мнению компании, криптоиндустрия должна координировать усилия для борьбы с внутренними угрозами и сложными атаками на DeFi-протоколы.