Il ponte Verus-Ethereum perde 11,5 milioni di dollari mentre l’attaccante scambia tutti i fondi in ETH

Un altro ponte cross-chain è stato prosciugato. Il ponte Verus-Ethereum ha perso circa 11,58 milioni di dollari. Il 17-18 maggio 2026, in un exploit segnalato per la prima volta dal sistema di rilevamento in tempo reale di Blockaid e confermato da PeckShield. L’attaccante ha drenato 103,6 tBTC, 1.625 ETH e 147.000 USDC dalle riserve del ponte. Tutti i fondi rubati sono stati immediatamente scambiati in 5.402,4 ETH. Si tratta di circa 11,4 milioni di dollari, consolidati in un unico indirizzo wallet. Il finanziamento iniziale dell’attaccante proveniva da Tornado Cash circa 14 ore prima del drenaggio. Le notizie sui hack cripto nel 2026 continuano a tornare sulla stessa classe di vulnerabilità. E l’exploit del ponte Verus-Ethereum è il suo esempio più chiaro fino ad ora.

Come 10 dollari sono diventati 11,5 milioni di dollari

La causa tecnica di fondo è ciò che rende questo attacco particolarmente allarmante. L’analisi di Blockaid ha confermato che non si è trattato di una compromissione della chiave. Non di un bypass della firma. Non di una collisione di hash. Il ponte ha verificato tutto ciò che era progettato per verificare. Ha autenticato le radici di stato di Verus, le prove di Merkle e gli impegni hash. Non ha mai controllato se la transazione della catena sorgente supportava effettivamente i pagamenti con un valore reale.

🔎 Drenaggio del ponte Verus-Ethereum di 11,58 milioni di dollari – Causa sospetta

Stessa classe di Wormhole-2022 / Nomad-2022: gap di legame del valore economico sorgente ↔ destinazione.

Cosa verifica correttamente il ponte:
✓ Radice di stato di Verus autenticata (8/15 firme notarili valide, tutte criptograficamente valide)
✓…

— Blockaid (@blockaid_) 18 maggio 2026

L’attaccante ha costruito una transazione spendendo circa 10 dollari in commissioni VRSC. Quella transazione si è impegnata in un blob di pagamento con totali vuoti sul lato sorgente. Con zero valore reale bloccato sul lato del ponte Verus-Ethereum. Il protocollo Verus ha accettato la transazione come legittima. Otto dei quindici notai hanno firmato criptograficamente la radice di stato risultante. L’attaccante ha quindi inviato quella prova firmata al contratto del ponte Ethereum tramite submitImports().

Il ponte ha verificato la prova. Ha decodificato il blob e ha pagato 11,58 milioni di dollari dalle sue riserve. Blockaid ha descritto la soluzione con una semplicità sorprendente. Circa dieci righe di Solidity nella funzione checkCCEValues. Questo avrebbe impedito l’intero attacco convalidando che i totali di esportazione della catena sorgente supportassero effettivamente i pagamenti richiesti.

Un modello familiare

Le notizie su Ethereum dell’era dei ponti del 2022 si stanno ripetendo. Blockaid ha direttamente confrontato questo exploit con gli hack dei ponti Wormhole e Nomad. Entrambi hanno sfruttato gap di legame del valore economico sorgente-destinazione piuttosto che fallimenti crittografici. L’exploit del ponte Verus-Ethereum segue la stessa architettura: prove valide, economia non valida, pagamento catastrofico. L’indirizzo EOA dell’attaccante 0x5aBb…D5777 ha avviato la transazione di exploit. Il wallet drenante 0x65Cb…C25F9 attualmente detiene i proventi consolidati in ETH. Entrambi gli indirizzi sono tracciabili pubblicamente su Etherscan.

Cosa significa questo per investitori e sviluppatori

Per i seguaci delle notizie sugli hack cripto e gli utenti dei ponti, l’exploit del ponte Verus-Ethereum rafforza una lezione critica. La validità crittografica e la validità economica non sono la stessa cosa. Un ponte può verificare correttamente ogni firma e comunque pagare fondi che non sono mai stati depositati. Per gli sviluppatori di Ethereum che costruiscono infrastrutture cross-chain, l’analisi della causa principale di Blockaid è lettura obbligatoria. 

Ogni implementazione di ponte ha bisogno di una validazione esplicita che il valore bloccato nella catena sorgente corrisponda agli importi di pagamento nella catena di destinazione, indipendentemente dalla verifica della prova. Questo perché la correttezza della prova garantisce che il messaggio sia autentico, ma non garantisce che l’economia sia solida. In altre parole, una prova valida non significa automaticamente una transazione valida. In definitiva, quella specifica lacuna di sicurezza è costata al ponte Verus-Ethereum 11,5 milioni di dollari.