Verus-Ethereum-Brücke verliert 11,5 Millionen Dollar, während Angreifer alle Gelder in ETH tauscht

Eine weitere Cross-Chain-Brücke wurde ausgeräumt. Die Verus-Ethereum-Brücke verlor etwa 11,58 Millionen Dollar. Am 17. und 18. Mai 2026 wurde ein Exploit entdeckt, der zuerst von Blockaids Echtzeit-Detektionssystem gemeldet und von PeckShield bestätigt wurde. Der Angreifer entnahm 103,6 tBTC, 1.625 ETH und 147.000 USDC aus den Reserven der Brücke. Alle gestohlenen Gelder wurden sofort in 5.402,4 ETH umgetauscht. Dies entspricht ungefähr 11,4 Millionen Dollar und wurde in einer einzigen Wallet-Adresse konsolidiert. Die anfängliche Finanzierung des Angreifers kam etwa 14 Stunden vor dem Raub von Tornado Cash. Die Nachrichten über Krypto-Hacks im Jahr 2026 drehen sich immer wieder um dieselbe Schwachstellenklasse. Der Exploit der Verus-Ethereum-Brücke ist das klarste Beispiel dafür.

Wie aus 10 Dollar 11,5 Millionen Dollar wurden

Die technische Ursache ist das, was diesen Angriff besonders alarmierend macht. Blockaids Analyse bestätigte, dass es sich nicht um einen Schlüsselkompromiss handelte. Kein Signaturumgehung. Keine Hash-Kollision. Die Brücke verifizierte alles, was sie verifizieren sollte. Sie notariierte die Verus-Zustandswurzeln, Merkle-Beweise und Hash-Verpflichtungen. Sie überprüfte jedoch nie, ob die Transaktion der Quellkette die Auszahlungen tatsächlich mit echtem Wert absicherte.

🔎 Verus-Ethereum Bridge $11.58M drain – Verdächtige Ursache

Gleiche Klasse wie Wormhole-2022 / Nomad-2022: Quelle ↔ Ziel wirtschaftlicher Wertbindungsabstand.

Was die Brücke korrekt verifiziert:
✓ Notarisiert Verus-Zustandswurzel (8/15 gültige Notarsignaturen, alle kryptografisch einwandfrei)
✓…

— Blockaid (@blockaid_) 18. Mai 2026

Der Angreifer erstellte eine Transaktion, die etwa 10 Dollar an VRSC-Gebühren ausgab. Diese Transaktion verpflichtete sich zu einem Payout-Blob mit leeren Quellseiten-Gesamtbeträgen. Mit null echtem Wert, der auf der Verus-Ethereum-Brücke gesperrt war. Das Verus-Protokoll akzeptierte die Transaktion als legitim. Acht von fünfzehn Notaren unterzeichneten kryptografisch die resultierende Zustandswurzel. Der Angreifer reichte dann diesen signierten Beweis über submitImports() beim Ethereum-Brückenvertrag ein.

Die Brücke verifizierte den Beweis. Dekodierte das Blob und zahlte 11,58 Millionen Dollar aus ihren Reserven aus. Blockaid beschrieb die Lösung mit erschreckender Einfachheit. Ungefähr zehn Zeilen Solidity in der Funktion checkCCEValues. Dies hätte den gesamten Angriff verhindert, indem sichergestellt wurde, dass die Exportbeträge der Quellkette tatsächlich die angeforderten Auszahlungen absicherten.

Ein bekanntes Muster

Die Ethereum-Nachrichten aus der Brückenära 2022 wiederholen sich. Blockaid verglich diesen Exploit direkt mit den Hacks der Wormhole- und Nomad-Brücke. Beide nutzten wirtschaftliche Wertbindungsabstände zwischen Quelle und Ziel aus, anstatt kryptografische Fehler. Der Exploit der Verus-Ethereum-Brücke folgt derselben Architektur: gültige Beweise, ungültige Wirtschaftlichkeit, katastrophale Auszahlungen. Die EOA-Adresse des Angreifers 0x5aBb…D5777 initiierte die Exploit-Transaktion. Die Wallet des Angreifers 0x65Cb…C25F9 hält derzeit die konsolidierten ETH-Erlöse. Beide Adressen sind öffentlich auf Etherscan nachverfolgbar.

Was das für Investoren und Entwickler bedeutet

Für Krypto-Hack-Nachrichtenverfolger und Brückenbenutzer verstärkt der Exploit der Verus-Ethereum-Brücke eine wichtige Lektion. Kryptografische Gültigkeit und wirtschaftliche Gültigkeit sind nicht dasselbe. Eine Brücke kann jede Signatur korrekt verifizieren und dennoch Gelder auszahlen, die nie eingezahlt wurden. Für Ethereum-Entwickler, die Cross-Chain-Infrastruktur aufbauen, ist Blockaids Ursachenanalyse Pflichtlektüre. 

Jede Brückenimplementierung benötigt eine explizite Validierung, dass der auf der Quellkette gesperrte Wert mit den Auszahlungsbeträgen der Zielkette übereinstimmt, unabhängig von der Beweisverifizierung. Dies liegt daran, dass die Korrektheit des Beweises garantiert, dass die Nachricht authentisch ist, aber nicht garantiert, dass die Wirtschaftlichkeit solide ist. Mit anderen Worten, ein gültiger Beweis bedeutet nicht automatisch eine gültige Transaktion. Letztendlich hat diese spezifische Sicherheitslücke der Verus-Ethereum-Brücke 11,5 Millionen Dollar gekostet.