Cầu nối Verus-Ethereum mất 11,5 triệu USD khi kẻ tấn công hoán đổi toàn bộ quỹ sang ETH

Một cầu nối chuỗi chéo khác đã bị rút cạn. Cầu nối Verus-Ethereum đã mất khoảng 11,58 triệu USD. Vào ngày 17-18 tháng 5 năm 2026, trong một cuộc tấn công được hệ thống phát hiện thời gian thực của Blockaid cảnh báo đầu tiên và được PeckShield xác nhận. Kẻ tấn công đã rút 103,6 tBTC, 1.625 ETH và 147.000 USDC từ quỹ dự trữ của cầu nối. Tất cả quỹ bị đánh cắp đã ngay lập tức được hoán đổi thành 5.402,4 ETH. Giá trị của số ETH này khoảng 11,4 triệu USD và được gộp vào một địa chỉ ví duy nhất. Nguồn vốn ban đầu của kẻ tấn công đến từ Tornado Cash khoảng 14 giờ trước khi diễn ra vụ rút cạn. Tin tức hack tiền điện tử năm 2026 tiếp tục quay trở lại cùng một loại lỗ hổng. Và vụ khai thác cầu nối Verus-Ethereum là ví dụ rõ ràng nhất cho đến nay.

Cách 10 USD trở thành 11,5 triệu USD

Nguyên nhân kỹ thuật là điều khiến cuộc tấn công này đặc biệt đáng lo ngại. Phân tích của Blockaid xác nhận rằng đây không phải là một sự xâm phạm khóa. Không phải là một sự vượt qua chữ ký. Không phải là một va chạm băm. Cầu nối đã xác minh mọi thứ mà nó được thiết kế để xác minh. Nó đã công chứng các gốc trạng thái Verus, các chứng minh Merkle và các cam kết băm. Nó chỉ không kiểm tra xem giao dịch chuỗi nguồn có thực sự đảm bảo các khoản thanh toán bằng giá trị thực hay không.

🔎 Cầu nối Verus-Ethereum rút 11,58 triệu USD – Nguyên nhân nghi ngờ

Cùng loại với Wormhole-2022 / Nomad-2022: khoảng cách liên kết giá trị kinh tế giữa nguồn ↔ đích.

Những gì cầu nối xác minh đúng:
✓ Gốc trạng thái Verus đã được công chứng (8/15 chữ ký công chứng hợp lệ, tất cả đều có tính toán mật mã)
✓…

— Blockaid (@blockaid_) Ngày 18 tháng 5 năm 2026

Kẻ tấn công đã xây dựng một giao dịch tiêu tốn khoảng 10 USD phí VRSC. Giao dịch đó đã cam kết một blob thanh toán với tổng số bên nguồn rỗng. Với giá trị thực bằng không bị khóa trên cầu nối Verus-Ethereum. Giao thức Verus đã chấp nhận giao dịch đó là hợp lệ. Tám trong số mười lăm người công chứng đã ký xác nhận gốc trạng thái kết quả. Kẻ tấn công sau đó đã gửi chứng minh đã ký đó đến hợp đồng cầu nối Ethereum thông qua submitImports().

Cầu nối đã xác minh chứng minh. Giải mã blob và thanh toán 11,58 triệu USD từ quỹ dự trữ của nó. Blockaid đã mô tả cách khắc phục một cách đơn giản. Khoảng mười dòng Solidity trong hàm checkCCEValues. Điều đó sẽ ngăn chặn toàn bộ cuộc tấn công bằng cách xác thực rằng tổng số xuất chuỗi nguồn thực sự đảm bảo các khoản thanh toán được yêu cầu.

Một mô hình quen thuộc

Tin tức Ethereum từ thời kỳ cầu nối 2022 đang lặp lại. Blockaid đã so sánh trực tiếp vụ khai thác này với các vụ hack cầu nối Wormhole và Nomad. Cả hai đều khai thác khoảng cách liên kết giá trị kinh tế giữa nguồn và đích thay vì các lỗi mật mã. Vụ khai thác cầu nối Verus-Ethereum theo cùng một kiến trúc: chứng minh hợp lệ, kinh tế không hợp lệ, thanh toán thảm khốc. Địa chỉ EOA của kẻ tấn công 0x5aBb…D5777 đã khởi xướng giao dịch khai thác. Ví rút cạn 0x65Cb…C25F9 hiện đang nắm giữ số tiền ETH đã gộp lại. Cả hai địa chỉ đều có thể theo dõi công khai trên Etherscan.

Điều này có nghĩa gì đối với các nhà đầu tư và nhà phát triển

Đối với những người theo dõi tin tức hack tiền điện tử và người dùng cầu nối, vụ khai thác cầu nối Verus-Ethereum củng cố một bài học quan trọng. Tính hợp lệ mật mã và tính hợp lệ kinh tế không phải là một điều giống nhau. Một cầu nối có thể xác minh mọi chữ ký một cách chính xác và vẫn thanh toán các quỹ chưa bao giờ được gửi. Đối với các nhà phát triển Ethereum xây dựng cơ sở hạ tầng chuỗi chéo, phân tích nguyên nhân gốc rễ của Blockaid là tài liệu cần đọc.

Mỗi triển khai cầu nối cần xác thực rõ ràng rằng giá trị bị khóa trên chuỗi nguồn khớp với số tiền thanh toán trên chuỗi đích, độc lập với việc xác minh chứng minh. Điều này là vì tính đúng đắn của chứng minh đảm bảo rằng thông điệp là xác thực, nhưng không đảm bảo rằng kinh tế là hợp lý. Nói cách khác, một chứng minh hợp lệ không tự động có nghĩa là một giao dịch hợp lệ. Cuối cùng, lỗ hổng bảo mật cụ thể đó đã khiến cầu nối Verus-Ethereum mất 11,5 triệu USD.