Мост Verus-Ethereum потерял $11,5 млн после атаки, в ходе которой все средства были обменены на ETH

Еще один кросс-цепочный мост был опустошен. Мост Verus-Ethereum потерял примерно $11,58 миллиона. 17-18 мая 2026 года в результате эксплуатации, впервые отмеченной системой реального времени Blockaid и подтвержденной PeckShield. Злоумышленник вывел 103,6 tBTC, 1,625 ETH и 147,000 USDC из резервов моста. Все украденные средства были немедленно обменены на 5,402.4 ETH. Это примерно $11,4 миллиона, которые были консолидированы в одном адресе кошелька. Первоначальное финансирование злоумышленника поступило из Tornado Cash примерно за 14 часов до атаки. Новости о крипто-взломах в 2026 году продолжают возвращаться к одной и той же категории уязвимостей. Атака на мост Verus-Ethereum является ее самым ярким примером.

Как $10 превратились в $11,5 миллиона

Техническая причина этого нападения делает его особенно тревожным. Анализ Blockaid подтвердил, что это не была компрометация ключа. Не было обхода подписи. Не было коллизии хешей. Мост проверил все, что должен был проверить. Он нотариально заверил корни состояния Verus, доказательства Меркла и хеш-коммитменты. Он просто никогда не проверял, действительно ли транзакция исходной цепи обеспечивала выплаты реальной ценностью.

🔎 Утечка $11,58 млн на мосту Verus-Ethereum – Предполагаемая причина

Та же категория, что и Wormhole-2022 / Nomad-2022: разрыв экономической ценности между источником и назначением.

Что правильно проверяет мост:
✓ Нотариально заверенный корень состояния Verus (8/15 действительных подписей нотариусов, все криптографически корректные)
✓…

— Blockaid (@blockaid_) 18 мая 2026 года

Злоумышленник создал транзакцию, потратив примерно $10 на комиссии VRSC. Эта транзакция зафиксировала выплату с пустыми итогами с исходной стороны. С нулевой реальной ценностью, заблокированной на стороне моста Verus-Ethereum. Протокол Verus принял транзакцию как законную. Восемь из пятнадцати нотариусов криптографически подписали полученный корень состояния. Затем злоумышленник передал эту подписанную доказательство контракту моста Ethereum через submitImports().

Мост проверил доказательство. Декодировал блоб и выплатил $11,58 миллиона из своих резервов. Blockaid описал исправление с поразительной простотой. Примерно десять строк Solidity в функции checkCCEValues. Это предотвратило бы всю атаку, проверяя, что экспортированные итоги исходной цепи действительно обеспечивают запрашиваемые выплаты.

Знакомая схема

Новости Ethereum из эпохи мостов 2022 года повторяются. Blockaid напрямую сравнил эту атаку с взломами мостов Wormhole и Nomad. Оба из которых использовали разрывы в экономической ценности между источником и назначением, а не криптографические сбои. Атака на мост Verus-Ethereum следует той же архитектуре: действительные доказательства, недействительная экономика, катастрофическая выплата. Адрес EOA злоумышленника 0x5aBb…D5777 инициировал транзакцию эксплуатации. Кошелек дренажера 0x65Cb…C25F9 в настоящее время содержит консолидированные ETH-доходы. Оба адреса можно отслеживать публично на Etherscan.

Что это значит для инвесторов и разработчиков

Для тех, кто следит за новостями о крипто-взломах и пользователями мостов, атака на мост Verus-Ethereum подчеркивает критически важный урок. Криптографическая действительность и экономическая действительность – это не одно и то же. Мост может правильно проверить каждую подпись и все равно выплатить средства, которые никогда не были внесены. Для разработчиков Ethereum, создающих кросс-цепочную инфраструктуру, анализ коренной причины Blockaid является обязательным чтением. 

Каждая реализация моста нуждается в явной проверке, что заблокированная ценность исходной цепи соответствует суммам выплат на целевой цепи, независимо от проверки доказательств. Это потому, что корректность доказательства гарантирует, что сообщение подлинно, но не гарантирует, что экономика надежна. Другими словами, действительное доказательство не означает автоматически действительную транзакцию. В конечном итоге, этот конкретный пробел в безопасности стоил мосту Verus-Ethereum $11,5 миллиона.