Le pont Ethereum de Verus exploité pour 11,6 millions de dollars via un faux message de transfert

Le pont Ethereum de Verus Protocol a été exploité lundi via un faux message de transfert cross-chain, permettant à un pirate de transférer frauduleusement au moins 11,58 millions de dollars en cryptomonnaie. La plateforme de sécurité onchain Blockaid a identifié l’exploitation en cours et a documenté une transaction montrant un transfert de 1 625 Ether (ETH), 147 659 USDC et 103,57 tBTC v2, d’une valeur de plus de 11,5 millions de dollars. Les fonds volés ont depuis été convertis en Ether, et le portefeuille de l’attaquant affiche un solde de 5 402 Ether, soit environ 11,4 millions de dollars selon Etherscan. La société de sécurité blockchain PeckShield a confirmé le transfert comme une exploitation. Cet incident s’inscrit dans une tendance plus large des failles DeFi : des pirates crypto ont volé plus de 168,6 millions de dollars à partir de 34 protocoles de finance décentralisée au premier trimestre 2026, avril ayant marqué deux des plus grosses attaques de l’année — l’exploitation du protocole Drift pour 280 millions de dollars et l’exploit Kelp pour 292 millions de dollars.

## Détails de l’exploitation

Le système de détection de Blockaid a identifié l’exploitation lundi et a partagé les données de transaction sur Etherscan. Les actifs volés incluaient 1 625 ETH, 147 659 USDC et 103,57 tBTC v2. PeckShield a confirmé le transfert comme une exploitation, et les données onchain montrent que les fonds ont été convertis en 5 402 Ether dans le portefeuille de l’attaquant.

## Analyse technique

Blockaid a indiqué que l’incident de Verus Protocol ressemble à l’exploitation du pont Nomad de 190 millions de dollars et à l’exploitation de Wormhole de 325 millions de dollars en 2022. L’attaquant a exploité le pont en trompant le protocole pour lui faire croire que les instructions de transfert étaient réelles, entraînant l’envoi de fonds depuis les réserves du pont vers le portefeuille de l’attaquant.

Blockaid a identifié la cause racine comme une validation manquante du montant source dans checkCCEValues, nécessitant environ 10 lignes de code Solidity pour être corrigé. Le cabinet de sécurité a souligné qu’il s’agissait de « PAS d’un contournement ECDSA. PAS d’une compromission de clé notariale. PAS d’un bogue de liaison analyseur/hasage ».

Le prestataire de sécurité blockchain ExVul est arrivé à une conclusion similaire, indiquant que l’attaquant a utilisé une « charge utile d’import cross-chain falsifiée » qui a passé le « circuit de vérification du pont » et a abouti à « trois transferts rattachés à l’attaquant vers le portefeuille du drainer ».

## Recommandations de sécurité

ExVul a recommandé que « les preuves d’import cross-chain doivent lier chaque effet de transfert en aval aux données de charge utile authentifiées avant exécution ». Le prestataire a conseillé aux ponts de « ajouter une validation stricte de la charge utile à l’exécution, une défense en profondeur autour de la vérification des preuves, et de mettre en pause les flux sortants lorsqu’un import anomal est détecté ».

## Incidents liés

L’exploitation de Verus fait suite à la confirmation par THORChain, samedi, selon laquelle il a subi une exploitation de 10 millions de dollars. L’incident s’inscrit dans un schéma qui s’intensifie des attaques DeFi en 2026.