Verus Protocol 的以太坊桥周一遭到利用,方式是通过一条伪造的跨链转账信息,让黑客得以欺诈性地转走至少 1,158 万美元的加密货币。链上安全平台 Blockaid 识别到正在进行的利用,并记录了一笔交易,显示转账了 1,625 以太币(ETH)、147,659 USDC 和 103.57 tBTC v2,合计价值超过 1,150 万美元。被盗资金随后已被转换为以太币,攻击者的钱包余额为 5,402 Ether,依据 Etherscan 约为 1,140 万美元。区块链安全公司 PeckShield 确认这次转账属于利用事件。该事件反映出去中心化金融漏洞的更广泛趋势:在 2026 年第一季度,来自 34 个去中心化金融协议的加密黑客窃取了超过 1.686 亿美元;而在今年最大的两起攻击中,4 月占了其二——Drift Protocol 的 2.8 亿美元利用事件以及 Kelp 的 2.92 亿美元利用事件。
## 利用细节
Blockaid 的检测系统在周一识别出了该利用,并在 Etherscan 上共享了交易数据。被盗资产包括 1,625 ETH、147,659 USDC 和 103.57 tBTC v2。PeckShield 确认这次转账属于利用事件,链上数据表明资金已在攻击者钱包中转换为 5,402 Ether。
## 技术分析
Blockaid 表示,Verus Protocol 事件类似于 1.9 亿美元的 Nomad Bridge 利用事件以及 2022 年的 3.25 亿美元 Wormhole 利用事件。攻击者通过欺骗协议,让其相信转账指令是真实的,从而使桥从其储备中向攻击者的钱包发送资金。
Blockaid 将根因确定为 checkCCEValues 中缺失源金额校验,需要大约 10 行 Solidity 代码即可修复。安全公司强调这“NOT an ECDSA 绕过。NOT a notary key compromise。NOT a parser/hash-binding bug。”
区块链安全提供商 ExVul 得出了类似结论,称攻击者使用了“forged cross-chain import payload”(伪造的跨链导入载荷),该载荷通过了“bridge 的 verification flow”(桥的验证流程),并导致“three attacker-attached transfers to the drainer wallet”(对放币者钱包发起三笔附带攻击者的转账)。
## 安全建议
ExVul 建议“跨链导入证明必须在执行前,将每一个下游转账效果绑定到已认证的载荷数据”。安全提供商还建议桥在“添加严格的载荷到执行校验、在证明验证周围进行纵深防御,并在检测到异常导入时暂停对外出账流程”。
## 相关事件
Verus 利用事件之后,THORChain 在周六确认自己遭受了一次 1,000 万美元的利用。该事件属于 2026 年去中心化金融攻击正在升级的模式。
