Le pont inter-chaînes Ethereum de Verus est attaqué, et les pertes DeFi en mai dépassent 20 millions de dollars

La société de sécurité blockchain Blockaid a détecté le 18 mai que le pont inter-chaînes Verus- Ethereum subissait une attaque, et a lancé un avertissement sur X ; PeckShield a confirmé que cette attaque a entraîné une perte d’environ 11,58 millions de dollars. D’après les données de DeFiLlama, en mai, 12 protocoles DeFi ont été touchés par des attaques, et les pertes cumulées en mai ont déjà dépassé 20 millions de dollars.

Détails des attaques confirmés : actifs volés et traçage on-chain

（Source : Etherscan）

Les détails des actifs volés divulgués par PeckShield :

· 103,6 tBTC

· 1 625 ETH

· 147 000 USDC

Les actifs volés ont ensuite été convertis en 5 402,4 ETH (environ 11,4 millions de dollars), qui restent actuellement conservés dans l’adresse du portefeuille de l’attaquant : 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.

Origine des fonds (confirmée) : Avant l’attaque, l’attaquant a rechargé environ 14 heures plus tôt 1 ETH via le service de mixage Tornado Cash comme fonds initiaux, afin de dissimuler l’origine des fonds.

Contexte des incidents de sécurité DeFi : explosion en mai et données annuelles

15 mai 2026 (il y a 3 jours) : le coffre de THORChain a été piraté, et plus de 10 millions de dollars de fonds de protocole ont été volés ; THORChain a indiqué que les soldes des comptes des utilisateurs n’étaient pas affectés, et que l’enquête est toujours en cours

Mai 2026 (avant Verus) : DeFiLlama a confirmé que 12 protocoles DeFi avaient été attaqués, et que les pertes cumulées en mai dépassaient 20 millions de dollars

Avril 2026 : 12 événements de sécurité ont entraîné plus de 606 millions de dollars de pertes, dont une faille dans le pont de KelpDAO ayant causé une perte de 292 millions de dollars sur un seul incident, la plus importante attaque unique depuis le début de 2026

FAQ

Pourquoi l’attaquant a rechargé de l’ETH initial via Tornado Cash ?

Tornado Cash est un service de mixage Ethereum basé sur des preuves à divulgation nulle de connaissance (zero-knowledge proofs), qui coupe la source on-chain des fonds, rendant plus difficile le traçage de l’identité de l’attaquant. Utiliser un faible montant d’ETH (1 unité) pour le rechargement est une étape de préparation courante avant les attaques de ponts inter-chaînes, afin de payer les frais de Gas pour les opérations ultérieures, tout en brouillant l’origine des fonds.

Les 5 402,4 ETH volés ont-ils déjà été transférés ?

Selon le rapport, les actifs volés sont toujours conservés dans le portefeuille de l’attaquant 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9, et n’ont pas encore été transférés. Le projet Verus n’avait pas publié de déclaration officielle au moment du rapport ; la possibilité de récupérer les fonds dépend du suivi on-chain à venir et d’une éventuelle intervention des autorités.

Quelle est la situation de sécurité DeFi en mai par rapport à avril ?

En mai, jusqu’à l’événement Verus, les pertes cumulées ont atteint plus de 20 millions de dollars (12 événements). En comparaison, en avril, les 12 événements ont totalisé 606 millions de dollars de pertes (dont 292 millions de dollars pour KelpDAO), ce qui rend l’ampleur d’avril nettement supérieure à celle du niveau actuel de mai, mais la tendance aux attaques en chaîne en mai se poursuit toujours.