Компания Verus пострадала от хакерской атаки на сумму 11,5 млн долларов, а ущерб от эксплойтов, связанных с мостами, достигнет 329 млн долларов в 2026 году

18 мая злоумышленник похитил около 11,5 миллионов долларов из моста Verus-Ethereum , используя поддельное доказательство Меркла. Это событие пополняет растущее число кроссчейн-уязвимостей в мостах, ущерб от которых только в 2026 году достиг 328,6 миллионов долларов.

Мост Verus-Ethereum стал последним, кто пострадал от взлома в месяце, который, похоже, продолжил рекордную активность апреля.

Как был взломан Verus? 

специализирующаяся на безопасности блокчейна, PeckShieldAlert, сообщила, что злоумышленник извлекtracна мост 103,6 tBTC, 1625 ETH и 147 000 USDCtrac, а затем обменял украденные токены на 5402,4 ETH, что составляет примерно 11,4 миллиона долларов. 

Согласно данным PeckShieldAlert и Blockaid, которыеdentдруг от друга сообщили об уязвимости, конвертированные средства, как сообщается, остаются в одном кошельке по адресу 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.

Компания Blockaid такжеdentвнешний аккаунт злоумышленника и опубликовала хэш транзакции эксплойта.

Как работала эта уязвимость?

Blockaid поделился ссылкой на обсуждение на X, в котором говорится, что атака относится к тому же классу уязвимостей, что и два самых известных взлома мостов в криптомире: взлом Wormhole на 320 миллионов долларов и утечка средств из Nomad на 190 миллионов долларов, оба произошли в 2022 году. 

Атака EOA злоумышленника: 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777
Кошелек деинвестора (по-прежнему удерживает средства): 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9

Эксплойт tx: https://t.co/OqBh2alXGc
Мост contract: https://t.co/EN3LkDfId9

— Blockaid (@blockaid_) 18 мая 2026 г.

По данным Blockaid, мост Verus корректно проверил нотариально заверенные государственные корни, включая криптографически действительные подписи от 8 из 15 нотариусов. Однако слабость заключалась в том, что мост не проверял ничего, кроме этого этапа проверки. 

Кос, основатель компании SlowMist, занимающейся безопасностью блокчейна и известный в X как @evilcos, заявил: «Причиной взлома могло стать то, что злоумышленник создал поддельное доказательство Меркла, которое прошло проверку моста Verus Ethereum (не открытого исходного кода), что позволило ему беспрепятственно вывести средства (ETH/tBTC/USDC)». Кос добавил, что «необходимо дополнительное подтверждение конкретных деталей».

Компания Verus выпустила экстренное обновление всего за два дня до взлома

По данным CoinXtreme, компания Verus выпустила так называемое «срочное и обязательное» экстренное обновление версии 1.2.14-2 всего за два дня до того, как произошла уязвимость. 

Обновление было описано как исправление уязвимости; однако пока неясно, связаны ли исправленная проблема и использованная уязвимость, поскольку компания Verus на момент публикации не дала никаких публичных комментариев по поводуdent .

В этом году доходы от проектов Bridge превысили 328 миллионов долларов

восемь крупных инцидентов, связанных с мостами Согласно данным PeckShieldAlert, в этом году произошло уже 

Это усугубляет ситуацию, которая сейчас рассматривается как проблема, затрагивающая кроссчейн-инфраструктуру с тех пор, как четыре года назад такие мосты, как Wormhole и Nomad, подверглись крупным взломам.

Критики продолжают указывать на то, что мосты остаются высокоприоритетными целями, поскольку в них хранятся большие пулы заблокированных активов, и одна-единственная ошибка проверки может разблокировать весь пул.

сфера DeFi подвергалась атакам, как крупномасштабным, так и мелкомасштабным, которые продолжались с апреля по май. Cryptoplitan сообщал о заметных эксплойтах, произошедших в мае, включая атаки на Ink Finance и Renegade , которые обошлись в общей сложности в 349 000 долларов, и компрометацию закрытого ключа в Syndicate Labs, которая привела к потере 18,5 миллионов токенов SYND.

VRSCСогласно данным CoinMarketCap, на момент взлома