Verus ProtocolのEthereumブリッジは月曜日に、偽のクロスチェーン転送メッセージを介して悪用され、ハッカーが少なくとも1,158万ドル相当の暗号資産を不正に送金できた。オンチェーンのセキュリティプラットフォームBlockaidは進行中の悪用を特定し、1,625 Ether(ETH)、147,659 USDC、103.57 tBTC v2の送金が行われたことを示す取引を記録しており、これは1,150万ドル超に相当する。盗まれた資金はその後Etherに換金されており、攻撃者のウォレット残高は5,402 Etherで、Etherscanによると約1,140万ドル。ブロックチェーンセキュリティ企業PeckShieldは、この送金が悪用(エクスプロイト)であることを確認した。この事件は、DeFiの脆弱性が広がるというより大きな流れを反映している。暗号ハッカーは2026年の第1四半期に、34の分散型金融プロトコルから1億6,860万ドル超を盗み、4月には同年最大級の攻撃のうち2件が発生した。すなわち、2億8,000万ドルのDrift Protocolエクスプロイトと2億9,200万ドルのKelpエクスプロイトである。
## エクスプロイトの詳細
Blockaidの検知システムは月曜日にこのエクスプロイトを特定し、Etherscanで取引データを共有した。盗まれた資産には1,625 ETH、147,659 USDC、103.57 tBTC v2が含まれていた。PeckShieldはこの送金をエクスプロイトとして確認しており、オンチェーンデータでは資金が攻撃者ウォレット内で5,402 Etherに換金されたことが示されている。
## 技術分析
Blockaidは、Verus Protocolの今回の事例は、1億9,000万ドルのNomad Bridgeエクスプロイトおよび2022年の3億2.8億ドルのWormholeエクスプロイトに類似していると述べた。攻撃者は、送金指示が本物だとプロトコルに誤認させることでブリッジを悪用し、その結果、ブリッジが準備金から攻撃者のウォレットへ資金を送るようにした。
Blockaidは、根本原因をcheckCCEValuesにおけるソース金額の検証の欠落だと特定した。これを修正するにはSolidityコード約10行が必要だという。セキュリティ企業は、これは「NOT an ECDSA bypass(ECDSAのバイパスではない)。NOT a notary key compromise(ノータリー鍵の侵害ではない)。NOT a parser/hash-binding bug(パーサ/ハッシュ結合の不具合ではない)」と強調した。
ブロックチェーンセキュリティ提供者ExVulも同様の結論に到達し、攻撃者は「forged cross-chain import payload(偽造されたクロスチェーン取込ペイロード)」を使い、それが「ブリッジの検証フロー」を通過し、「ドレイナーウォレットへの攻撃者アタッチの3つの転送」に結果したと述べた。
## セキュリティ推奨事項
ExVulは、「クロスチェーンの取込(import)証明は、実行前に下流のすべての転送効果を認証済みのペイロードデータに結び付ける必要がある」と推奨した。セキュリティ提供者はブリッジに対し、「厳格なペイロード〜実行の検証を追加し、証明の検証をめぐる防御を多層化し、異常な取込が検出された際にはアウトバウンドの流れを停止する」よう助言した。
## 関連インシデント
Verusのエクスプロイトは、THORChainが土曜日に1,000万ドル規模のエクスプロイト被害を確認したことに続く。今回の事件は、2026年におけるDeFi攻撃が激化していく拡大パターンの一部である。
