Verus-Ethereum-broen mister $11,5 millioner etter at angriper byttet alle midler til ETH

En annen cross-chain bro har blitt tømt. Verus-Ethereum-broen mistet omtrent $11,58 millioner. Den 17.-18. mai 2026, i en utnyttelse først flagget av Blockaid’s sanntids deteksjonssystem og bekreftet av PeckShield. Angriperen tappet 103,6 tBTC, 1.625 ETH og 147.000 USDC fra broens reserver. Alle stjålne midler ble umiddelbart byttet til 5.402,4 ETH. Dette er verdt omtrent $11,4 millioner og konsolidert til en enkelt lommebokadresse. Angriperens opprinnelige finansiering kom fra Tornado Cash omtrent 14 timer før tappet. Kryptohack-nyheter i 2026 fortsetter å vende tilbake til den samme sårbarhetsklassen. Og utnyttelsen av Verus-Ethereum-broen er det tydeligste eksemplet så langt.

Hvordan $10 ble til $11,5 millioner

Den tekniske årsaken er det som gjør dette angrepet spesielt alarmerende. Blockaid’s analyse bekreftet at dette ikke var et nøkkelkompromiss. Ikke en signaturbypass. Ikke en hash-kollisjon. Broen verifiserte alt den var designet for å verifisere. Den notariert Verus tilstandsrøtter, Merkle-bevis og hash-forpliktelser. Den sjekket bare aldri om transaksjonen fra kildekjeden faktisk støttet utbetalingene med reell verdi.

🔎 Verus-Ethereum Bridge $11.58M drain – Suspected root cause

Same class as Wormhole-2022 / Nomad-2022: source ↔ destination economic-value binding gap.

What the bridge correctly verifies:
✓ Notarized Verus state root (8/15 valid notary sigs, all cryptographically sound)
✓…

— Blockaid (@blockaid_) 18. mai 2026

Angriperen bygde en transaksjon som brukte omtrent $10 i VRSC-gebyrer. Den transaksjonen forpliktet seg til en utbetalingsblob med tomme totalsummer fra kilde-siden. Med null reell verdi låst på Verus-Ethereum-broen. Verus-protokollen aksepterte transaksjonen som legitim. Åtte av femten notariusser signerte kryptografisk den resulterende tilstandsrøtten. Angriperen sendte deretter det signerte beviset til Ethereum-broens kontrakt via submitImports().

Broen verifiserte beviset. Dekodet bloben og betalte ut $11,58 millioner fra sine reserver. Blockaid beskrev løsningen med klar enkelhet. Omtrent ti linjer med Solidity i funksjonen checkCCEValues. Det ville ha forhindret hele angrepet ved å validere at totalsummene fra kildekjeden faktisk støttet de forespurte utbetalingene.

Et kjent mønster

Ethereum-nyheter fra broens æra i 2022 gjentar seg selv. Blockaid sammenlignet direkte denne utnyttelsen med Wormhole- og Nomad-brohackene. Begge utnyttet økonomisk verdi-binding mellom kilde og destinasjon snarere enn kryptografiske feil. Utnyttelsen av Verus-Ethereum-broen følger den samme arkitekturen: gyldige bevis, ugyldig økonomi, katastrofal utbetaling. Angriperen EOA-adresse 0x5aBb…D5777 initierte utnyttelses transaksjonen. Tømmerlommeboken 0x65Cb…C25F9 holder for øyeblikket de konsoliderte ETH-inntektene. Begge adresser er offentlig sporbare på Etherscan.

Hva dette betyr for investorer og utviklere

For følgere av kryptohack-nyheter og brobrukere, forsterker utnyttelsen av Verus-Ethereum-broen en kritisk lekse. Kryptografisk gyldighet og økonomisk gyldighet er ikke det samme. En bro kan verifisere hver signatur korrekt og fortsatt betale ut midler som aldri ble deponert. For Ethereum-utviklere som bygger cross-chain infrastruktur, er Blockaid’s rotårsaksanalyse obligatorisk lesning. 

Hver broimplementering trenger eksplisitt validering av at låst verdi fra kildekjeden samsvarer med utbetalingsbeløpene fra destinasjonskjeden, uavhengig av bevisverifisering. Dette er fordi beviskorrekthet garanterer at meldingen er autentisk, men det garanterer ikke at økonomien er sunn. Med andre ord, et gyldig bevis betyr ikke automatisk en gyldig transaksjon. Til syvende og sist kostet det spesifikke sikkerhetshullet Verus-Ethereum-broen $11,5 millioner.