Мост Verus Ethereum Bridge для Ethereum был взломан: через фальшивое сообщение о переводе похищено 11,6 млн долларов

Мост Ethereum от Verus Protocol был взломан в понедельник с помощью поддельного сообщения о кроссчейн-переводе, что позволило хакеру мошеннически вывести как минимум 11,58 миллиона долларов в криптовалюте. Платформа ончейн-безопасности Blockaid выявила продолжающийся эксплойт и задокументировала транзакцию, показывающую перевод 1 625 Ether (ETH), 147 659 USDC и 103,57 tBTC v2 на сумму более 11,5 миллиона долларов. Впоследствии украденные средства были конвертированы в Ether: на кошельке атакующего хранится остаток 5 402 Ether, что примерно соответствует 11,4 миллиона долларов по данным Etherscan. Компания PeckShield по блокчейн-безопасности подтвердила перевод как эксплойт. Инцидент отражает более широкий тренд уязвимостей в DeFi: в первом квартале 2026 года криптохакеры украли более 168,6 миллиона долларов у 34 протоколов децентрализованных финансов, при этом в апреле пришлись два из крупнейших атак года — эксплойт Drift Protocol на 280 миллионов долларов и эксплойт Kelp на 292 миллиона долларов.

## Детали эксплойта

Система обнаружения Blockaid выявила эксплойт в понедельник и поделилась данными транзакции на Etherscan. Украденные активы включали 1 625 ETH, 147 659 USDC и 103,57 tBTC v2. PeckShield подтвердила перевод как эксплойт, а данные в блокчейне показывают, что средства были конвертированы в 5 402 Ether на кошельке атакующего.

## Технический анализ

Blockaid заявила, что инцидент с Verus Protocol похож на эксплойт моста Nomad на 190 миллионов долларов и эксплойт Wormhole на 325 миллионов долларов из 2022 года. Атакующий использовал мост, обманув протокол, чтобы тот считал инструкции по переводу реальными, из-за чего мост отправил средства из своих резервов на кошелёк атакующего.

Blockaid определила первопричину как отсутствующую валидацию исходной суммы (source-amount validation) в checkCCEValues, для исправления требуется примерно 10 строк кода Solidity. Компания по безопасности подчеркнула, что это было «НЕ обход ECDSA. НЕ компрометация нотариального ключа. НЕ ошибка в связывании парсер/хэш».

Провайдер блокчейн-безопасности ExVul пришёл к похожему выводу, заявив, что атакующий использовал «сфабрикованную полезную нагрузку кроссчейн-импорта», которая прошла «поток верификации моста» и привела к «трем переводам, прикрепленным атакующим, в кошельке-дренере».

## Рекомендации по безопасности

ExVul рекомендовала, чтобы «доказательства кроссчейн-импорта должны связывать каждый эффект downstream-перевода с данными аутентифицированной полезной нагрузки до исполнения». Провайдер посоветовал мостам «добавить строгую валидацию полезной нагрузки по отношению к исполнению, обеспечить многоуровневую защиту вокруг верификации доказательств и ставить на паузу исходящие потоки при обнаружении аномальных импортов».

## Связанные инциденты

Эксплойт Verus следует за подтверждением THORChain в субботу о том, что она пострадала от эксплойта на 10 миллионов долларов. Инцидент входит в усиливающийся паттерн атак на DeFi в 2026 году.