Verus, протокол децентралізованих фінансів, зазнав збитків приблизно на $11,5 млн у результаті кібератаки на свій кросчейн-міст з Ethereum. Цю інформацію підтвердили фахівці з кібербезпеки з компаній Blockaid, PeckShield та GoPlus.
🔎 Спустошення мосту Verus-Ethereum на $11,58 млн — ймовірна першопричина
Цей випадок подібний до атак на Wormhole (2022) та Nomad (2022): порушення економічного зв’язку між відправником і одержувачем.
Перевірка мосту підтвердила коректність:
✓ Нотарізованого стану Verus (8 з 15 дійсних підписів нотаріусів, усе криптографічно бездоганно)
✓…— Blockaid (@blockaid_) May 18, 2026
За даними PeckShield, зловмисник вивів 103,6 tBTC, 1625 ETH та 147 000 USDC, після чого конвертував ці активи в 5402 ETH. На момент звіту кошти залишалися на гаманці кіберзлочинця.
#PeckShieldAlert Міст Verus-Ethereum від @veruscoin було обчищено на 103.6 $tBTC, 1.625K $ETH і 147K $USDC.
Зловмисник обміняв викрадені активи на 5,402.4 $ETH (~$11.4M), які наразі перебувають за адресою 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.
Адреса зловмисника… https://t.co/DK0CDUAcqb pic.twitter.com/NMa8abhaTH
— PeckShieldAlert (@PeckShieldAlert) May 18, 2026
Кошти для покриття транзакційних витрат хакер отримав через міксер Tornado Cash приблизно за 14 годин до інциденту.
Експерти GoPlus зазначили, що атакуючий виконав транзакцію з низькою вартістю, активувавши функцію контракту для масового виведення резервів. Ймовірною причиною інциденту вважається вразливість у логіці механізму виведення коштів або підробка підпису під час міжмережевої верифікації повідомлень.
🚨GoPlus Security Alert: Verus-Ethereum Bridge від @veruscoin зазнав атаки, втрати становлять близько $11,5 млн.
Атакуючий, використовуючи контракт мосту, одним транзакційним запитом з боку Ethereum вивів значні активи (1,625 ETH + 103.57 tBTC + 147k USDC).
Це черговий типовий випадок атаки на міст у 2026 році; раніше мости Kelp DAO, Hyperbridge та інші сукупно втратили сотні мільйонів доларів… pic.twitter.com/SB7JmfHggl
— GoPlus中文社区 (@GoPlusZH) May 18, 2026
Представники Verus поки що не надали офіційних коментарів щодо ситуації. Міст між мережами Verus та Ethereum був запущений у жовтні 2023 року. Сам протокол функціонує з 2018 року і ставить за мету забезпечення конфіденційності користувачів.
Галузь децентралізованих фінансів регулярно стикається з подібними кіберзагрозами. Загальна сума коштів, заблокованих у DeFi, яка була втрачена внаслідок зломів, перевищує $7,7 млрд.
Джерело: DefiLlama.
При цьому збитки від уразливостей кросчейн-мостів перевищують $3,2 млрд.
Варто зазначити, що у квітні Kelp зазнав хакерської атаки, яка, за припущеннями, була здійснена групою Lazarus. Цей інцидент став наймасштабнішим у сфері DeFi з початку поточного року.
У травні зловмисники вивели $10 млн із кросчейн-протоколу THORChain. Розробники проєкту підтвердили факт зламу, але спростували інформацію про запуск програми компенсації збитків.