Хакери вивели $11,5 млн із протоколу Verus
DeFi-протокол Verus втратив близько $11,5 млн внаслідок атаки на кросчейн-міст з Ethereum. Про це повідомили фахівці з кібербезпеки Blockaid, PeckShield і GoPlus.
🔎 Осушення Verus-Ethereum Bridge на $11,58 млн — ймовірна першопричина
Та ж категорія, що Wormhole-2022 / Nomad-2022: розрив зв’язування економічної цінності між джерелом ↔ призначенням.
Що міст перевіряє коректно:
✓ Нотаризований state root Verus (8/15 дійсних підписів нотарів, усе криптографічно коректно)
✓…— Blockaid (@blockaid_) May 18, 2026
За даними PeckShield, хакер вивів 103,6 tBTC, 1625 ETH і 147 000 USDC, після чого обміняв активи на 5402 ETH. На момент публікації кошти перебувають на гаманці зловмисника.
#PeckShieldAlert Міст @veruscoin Verus-Ethereum було осушено на 103.6 $tBTC, 1.625K $ETH і 147K $USDC.
Експлуататор обміняв викрадені активи на 5,402.4 $ETH (~$11.4M), які наразі зберігаються на 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.
Адреса атакувальника… https://t.co/DK0CDUAcqb pic.twitter.com/NMa8abhaTH
— PeckShieldAlert (@PeckShieldAlert) May 18, 2026
Кошти для оплати комісій він отримав через міксер Tornado Cash за 14 годин до зламу.
Експерти GoPlus пояснили, що атакувальник відправив транзакцію з низькою вартістю й викликав функцію контракту для масового виведення резервів. Ймовірною причиною інциденту називають уразливість у логіці зняття коштів або підробку підпису під час перевірки міжмережевих повідомлень.
🚨Попередження безпеки GoPlus: Verus-Ethereum Bridge від @veruscoin зазнав атаки, втрати близько $11,5 млн
Атакувальник через контракт мосту однією транзакцією з боку Ethereum перемістив значні активи (1,625 ETH + 103.57 tBTC + 147k USDC).
Це ще один типовий випадок атак на мости у 2026 році, раніше мости Kelp DAO, Hyperbridge тощо сукупно втратили сотні мільйонів доларів.… pic.twitter.com/SB7JmfHggl
— GoPlus中文社区 (@GoPlusZH) May 18, 2026
Розробники Verus ситуацію не прокоментували. Міст між мережами Verus та Ethereum запустили в жовтні 2023 року. Сам протокол працює з 2018 року та орієнтований на конфіденційність користувачів.
Індустрія децентралізованих фінансів регулярно стикається з подібними загрозами. Загальний обсяг заблокованих у DeFi коштів, втрачений унаслідок зламів, становить понад $7,7 млрд.
При цьому на вразливості кросчейн-мостів припадає понад $3,2 млрд збитків.
Нагадаємо, у квітні Kelp зазнав зламу, за яким, імовірно, стоїть угруповання Lazarus Group. Інцидент став найбільшим у DeFi-секторі з початку року.
У травні зловмисники вивели $10 млн із кросчейн-протоколу THORChain. Розробники проєкту підтвердили злам і спростували запуск програми відшкодування збитків.