Cầu nối Verus Ethereum bị khai thác, chiếm 11,6 triệu USD thông qua tin nhắn chuyển tiền giả

EthanBrooks

2026-05-19 09:12:53

ETH-0,11%

Cầu Ethereum của Verus Protocol đã bị khai thác vào thứ Hai thông qua một tin nhắn chuyển chuỗi giả mạo, cho phép kẻ tấn công gian lận chuyển ra ít nhất 11,58 triệu USD tiền mã hóa. Nền tảng an ninh onchain Blockaid đã phát hiện vụ khai thác đang diễn ra và ghi nhận một giao dịch cho thấy chuyển 1.625 Ether (ETH), 147.659 USDC và 103,57 tBTC v2, trị giá hơn 11,5 triệu USD. Số tiền bị đánh cắp sau đó được quy đổi thành Ether, trong đó ví của kẻ tấn công giữ số dư 5.402 Ether, tương đương khoảng 11,4 triệu USD theo Etherscan. Công ty an ninh blockchain PeckShield xác nhận việc chuyển tiền là một vụ khai thác. Sự cố phản ánh xu hướng rộng hơn về lỗ hổng DeFi: tin tặc đã đánh cắp hơn 168,6 triệu USD từ 34 giao thức tài chính phi tập trung trong quý đầu tiên của năm 2026, với tháng 4 đánh dấu hai trong số các cuộc tấn công lớn nhất trong năm—vụ khai thác Drift Protocol trị giá 280 triệu USD và vụ khai thác Kelp trị giá 292 triệu USD.

## Chi Tiết Khai Thác

Hệ thống phát hiện của Blockaid nhận diện vụ khai thác vào thứ Hai và chia sẻ dữ liệu giao dịch trên Etherscan. Tài sản bị đánh cắp gồm 1.625 ETH, 147.659 USDC và 103,57 tBTC v2. PeckShield xác nhận việc chuyển tiền là một vụ khai thác, với dữ liệu onchain cho thấy số tiền được quy đổi thành 5.402 Ether trong ví của kẻ tấn công.

## Phân Tích Kỹ Thuật

Blockaid cho biết vụ việc tại Verus Protocol có điểm tương đồng với vụ khai thác cầu Nomad trị giá 190 triệu USD và vụ khai thác Wormhole trị giá 325 triệu USD vào năm 2022. Kẻ tấn công lợi dụng cầu bằng cách đánh lừa giao thức rằng các lệnh chuyển là thật, khiến cầu chuyển tiền từ dự trữ của nó sang ví của kẻ tấn công.

Blockaid xác định nguyên nhân gốc là thiếu kiểm tra xác thực “nguồn-amount” trong checkCCEValues, cần khoảng 10 dòng mã Solidity để khắc phục. Hãng bảo mật nhấn mạnh rằng đây “KHÔNG phải là vượt qua ECDSA. KHÔNG phải là sự cố lộ khóa notary. KHÔNG phải là lỗi ràng buộc parser/hash.”

Nhà cung cấp an ninh ExVul đi đến kết luận tương tự, cho biết kẻ tấn công dùng “payload nhập chuỗi giả mạo” vượt qua “luồng xác minh của cầu” và dẫn đến “ba lần chuyển đính kèm bởi kẻ tấn công tới ví drainer”.

## Khuyến Nghị Bảo Mật

ExVul khuyến nghị rằng “chứng minh nhập chuỗi phải ràng buộc mọi hiệu ứng chuyển tiền hạ nguồn với dữ liệu payload đã được xác thực trước khi thực thi.” Nhà cung cấp bảo mật cũng khuyên các cầu “thêm cơ chế xác thực nghiêm ngặt giữa payload và quá trình thực thi, áp dụng phòng thủ theo chiều sâu quanh việc xác minh proof và tạm dừng luồng xuất khi phát hiện các lần nhập bất thường.”

## Các Sự Cố Liên Quan

Vụ khai thác tại Verus diễn ra sau xác nhận của THORChain vào thứ Bảy rằng họ đã hứng chịu một vụ khai thác trị giá 10 triệu USD. Sự cố này nằm trong xu hướng ngày càng leo thang của các cuộc tấn công DeFi trong năm 2026.

Xem nguồn

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.

Tin tức liên quan

1giờ trước

Cầu Verus Ethereum bị khai thác qua các thông điệp liên chuỗi gian lận, thiệt hại 11,6 triệu USD vào thứ Hai

1giờ trước

Thị trường eBTC của Echo Protocol bị khai thác trên Monad, ~$816K bị đánh cắp vào thứ Hai

21giờ trước

Lỗ hổng trên cầu Verus-Ethereum bị khai thác, chiếm đoạt 11,58 triệu USD vào cuối Chủ nhật