Verus subit un piratage de 11,5 millions de dollars, tandis que les failles de sécurité liées aux ponts atteignent 329 millions de dollars en 2026

Le 18 mai, un pirate a dérobé environ 11,5 millions de dollars sur le pont Verus-Ethereum grâce à une preuve Merkle falsifiée. Cet incident s'ajoute au nombre croissant d'attaques de ponts inter-chaînes, dont les pertes ont déjà atteint 328,6 millions de dollars pour la seule année 2026.

Le pont Verus-Ethereum est la dernière victime d'une faille de sécurité dans un mois qui semble avoir pris le relais du mois d'avril, qui avait déjà battu des records.

Comment Verus a-t-il été piraté ? 

La société de sécurité blockchain PeckShieldAlert a signalé que l'attaquant atrac103,6 tBTC, 1 625 ETH et 147 000 USDC du contrat de ponttracpuis a échangé les jetons volés contre 5 402,4 ETH d'une valeur d'environ 11,4 millions de dollars. 

Selon PeckShieldAlert et Blockaid, qui ont tous deux signalé l'exploit dedentindépendante, les fonds convertis resteraient dans un seul portefeuille à l'adresse 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.

Blockaid a égalementdentle compte externe de l'attaquant et a publié le hachage de la transaction d'exploitation.

Comment fonctionnait la faille ?

Blockaid a partagé un fil de discussion sur X, indiquant que l'attaque appartenait à la même catégorie de vulnérabilités que deux des piratages de ponts crypto les plus notoires, la brèche Wormhole de 320 millions de dollars et le vol de fonds Nomad de 190 millions de dollars, tous deux survenus en 2022. 

EOA de l'attaquant : 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777
Portefeuille du voleur (détenant toujours les fonds) : 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9

Exploit tx : https://t.co/OqBh2alXGc
Bridgetract : https://t.co/EN3LkDfId9

— Blockaid (@blockaid_) 18 mai 2026

Selon Blockaid, le pont Verus a correctement vérifié les racines d'état notariées, notamment les signatures cryptographiquement valides de 8 des 15 notaires. Cependant, sa faiblesse résidait dans les vérifications qu'il n'a pas effectuées au-delà de cette étape. 

Cos, fondateur de la société de sécurité blockchain SlowMist et connu sous le pseudo @evilcos sur X, a déclaré: « La cause du piratage pourrait être la création par l’attaquant d’une preuve Merkle falsifiée, qui a passé la vérification du pont Verus Ethereum (non open source), lui permettant ainsi de retirer les fonds (ETH/tBTC/USDC) sans encombre. » Cos a ajouté que « des vérifications supplémentaires sont nécessaires pour confirmer ces informations. »

Verus a déployé un correctif d'urgence deux jours seulement avant le piratage

Selon CoinXtreme, Verus avait déployé ce qu'elle qualifiait de mise à jour d'urgence « urgente et obligatoire », version 1.2.14-2, seulement deux jours avant que l'exploitation ne se produise. 

La mise à jour a été décrite comme un correctif pour une vulnérabilité ; cependant, il n’est pas encore clair si le problème corrigé et la vulnérabilité exploitée sont liés, car Verus n’a pas commenté publiquement l’dent au moment du signalement.

Bridge exploite plus de 328 millions de dollars cette année

Huit attaques majeures contre des ponts ont eu lieu cette année, la plus récente étant celle du pont Verus, selon PeckShieldAlert. Les pertes cumulées s'élèvent à environ 328,6 millions de dollars. 

Cela s'ajoute à ce qui est désormais perçu comme un schéma qui affecte l'infrastructure inter-chaînes depuis que des ponts comme Wormhole et Nomad ont subi des failles majeures il y a quatre ans.

Les critiques continuent de souligner que les ponts restent des cibles de grande valeur car ils détiennent d'importants volumes d'actifs bloqués, et qu'une simple faille de vérification peut déverrouiller l'ensemble du portefeuille.

Le DeFi a été globalement la cible d'attaques, tant à grande échelle qu'à plus petite échelle, entre avril et mai. Cryptoplitan a recensé des failles de sécurité importantes survenues en mai, notamment des attaques contre Ink Finance et Renegade ayant entraîné des pertes cumulées de 349 000 $ et une compromission de la clé privée chez Syndicate Labs ayant conduit à la perte de 18,5 millions de jetons SYND.

Le VRSC, le jeton natif du réseau Verus, s'échangeait à environ 0,75 $ avec une capitalisation boursière de plus de 60 millions de dollars au moment de l'exploitation, selon les données de CoinMarketCap.