Le pont Verus-Ethereum perd 11,5 millions de dollars après qu’un attaquant a échangé tous les fonds contre de l’ETH

Un autre pont inter-chaînes a été vidé. Le pont Verus-Ethereum a perdu environ 11,58 millions de dollars. Les 17 et 18 mai 2026, lors d’une exploitation d’abord signalée par le système de détection en temps réel de Blockaid et confirmée par PeckShield. L’attaquant a drainé 103,6 tBTC, 1 625 ETH et 147 000 USDC des réserves du pont. Tous les fonds volés ont été immédiatement échangés contre 5 402,4 ETH. Cela vaut environ 11,4 millions de dollars et a été consolidé dans une seule adresse de portefeuille. Le financement initial de l’attaquant provenait de Tornado Cash environ 14 heures avant le drain. Les nouvelles de hacks crypto en 2026 reviennent toujours à la même classe de vulnérabilités. Et l’exploitation du pont Verus-Ethereum en est l’exemple le plus clair à ce jour.

Comment 10 $ sont devenus 11,5 millions de dollars

La cause technique est ce qui rend cette attaque particulièrement alarmante. L’analyse de Blockaid a confirmé qu’il ne s’agissait pas d’une compromission de clé. Pas de contournement de signature. Pas de collision de hachage. Le pont a vérifié tout ce qu’il était censé vérifier. Il a notarié les racines d’état Verus, les preuves Merkle et les engagements de hachage. Il n’a simplement jamais vérifié si la transaction de la chaîne source soutenait réellement les paiements avec une valeur réelle.

🔎 Drain du pont Verus-Ethereum de 11,58 millions de dollars – Cause racine suspectée

Même classe que Wormhole-2022 / Nomad-2022 : écart de liaison de valeur économique source ↔ destination.

Ce que le pont vérifie correctement :
✓ Racine d’état Verus notariée (8/15 signatures de notaires valides, toutes cryptographiquement solides)
✓…

— Blockaid (@blockaid_) 18 mai 2026

L’attaquant a construit une transaction dépensant environ 10 $ de frais VRSC. Cette transaction s’est engagée à un blob de paiement avec des totaux vides du côté source. Avec zéro valeur réelle verrouillée du côté du pont Verus-Ethereum. Le protocole Verus a accepté la transaction comme légitime. Huit des quinze notaires ont signé cryptographiquement la racine d’état résultante. L’attaquant a ensuite soumis cette preuve signée au contrat du pont Ethereum via submitImports().

Le pont a vérifié la preuve. A décodé le blob et a payé 11,58 millions de dollars de ses réserves. Blockaid a décrit la solution avec une simplicité frappante. Environ dix lignes de Solidity dans la fonction checkCCEValues. Cela aurait empêché toute l’attaque en validant que les totaux d’exportation de la chaîne source soutenaient réellement les paiements demandés.

Un schéma familier

Les nouvelles Ethereum de l’ère des ponts de 2022 se répètent. Blockaid a directement comparé cette exploitation aux hacks de pont Wormhole et Nomad. Tous deux ont exploité des écarts de liaison de valeur économique source-destination plutôt que des échecs cryptographiques. L’exploitation du pont Verus-Ethereum suit la même architecture : preuves valides, économie invalide, paiement catastrophique. L’adresse EOA de l’attaquant 0x5aBb…D5777 a initié la transaction d’exploitation. Le portefeuille drainant 0x65Cb…C25F9 détient actuellement les produits consolidés en ETH. Les deux adresses sont traçables publiquement sur Etherscan.

Ce que cela signifie pour les investisseurs et les développeurs

Pour les suiveurs des nouvelles de hacks crypto et les utilisateurs de ponts, l’exploitation du pont Verus-Ethereum renforce une leçon critique. La validité cryptographique et la validité économique ne sont pas la même chose. Un pont peut vérifier chaque signature correctement et tout de même payer des fonds qui n’ont jamais été déposés. Pour les développeurs Ethereum construisant une infrastructure inter-chaînes, l’analyse de la cause racine de Blockaid est une lecture indispensable. 

Chaque mise en œuvre de pont nécessite une validation explicite que la valeur verrouillée de la chaîne source correspond aux montants de paiement de la chaîne de destination, indépendamment de la vérification de la preuve. Cela est dû au fait que la correction de la preuve garantit que le message est authentique, mais ne garantit pas que l’économie est solide. En d’autres termes, une preuve valide ne signifie pas automatiquement une transaction valide. En fin de compte, cette faille de sécurité spécifique a coûté au pont Verus-Ethereum 11,5 millions de dollars.