Verus Ethereum Bridge використали на 11,6 млн доларів через фальшиве повідомлення про переказ

У понеділок був зламаний Ethereum-мост Verus Protocol: нападник скористався фейковим повідомленням про кросчейн-переказ, що дало змогу шахраю шахрайськи вивести щонайменше 11,58 мільйона доларів у криптовалюті. Ончейн-платформа безпеки Blockaid виявила триваючий експлойт і задокументувала транзакцію, яка показує переказ 1 625 Ether (ETH), 147 659 USDC та 103,57 tBTC v2 на суму понад 11,5 мільйона доларів. Вкрадені кошти згодом були конвертовані в Ether: гаманець атакувальника має залишок 5 402 Ether, що, за даними Etherscan, становить приблизно 11,4 мільйона доларів. Компанія PeckShield з безпеки блокчейну підтвердила переказ як експлойт. Інцидент відображає ширшу тенденцію вразливостей DeFi: у першому кварталі 2026 року хакери викрали понад 168,6 мільйона доларів із 34 децентралізованих протоколів фінансів, причому квітень відзначився двома найбільшими атаками року — експлойтом Drift Protocol на 280 мільйонів доларів і експлойтом Kelp на 292 мільйони доларів.

## Деталі експлойту

Система виявлення Blockaid ідентифікувала експлойт у понеділок і поширила дані транзакції в Etherscan. Вкрадені активи включали 1 625 ETH, 147 659 USDC та 103,57 tBTC v2. PeckShield підтвердила переказ як експлойт: ончейн-дані показують, що кошти були конвертовані в 5 402 Ether у гаманці атакувальника.

## Технічний аналіз

Blockaid заявила, що інцидент у Verus Protocol схожий на експлойт Nomad Bridge на 190 мільйонів доларів і експлойт Wormhole на 325 мільйонів доларів з 2022 року. Нападник використав міст, обманувши протокол, змусивши його вважати інструкції переказу реальними, що спричинило відправку коштів із резервів моста на гаманець атакувальника.

Blockaid визначила першопричину як відсутність валідації source-amount у checkCCEValues, для виправлення потрібно близько 10 рядків коду Solidity. У компанії з безпеки наголосили, що це «НЕ є обхід ECDSA. НЕ є компрометацією ключа нотаріуса. НЕ є багом парсера/хеш-зв’язування».

Провайдер безпеки блокчейну ExVul дійшов подібного висновку: він заявив, що нападник використав «підроблений payload імпорту між ланцюгами», який пройшов «процес верифікації моста» і призвів до «трьох переказів, прив’язаних до атакувальника, на дренер-гаманець».

## Рекомендації з безпеки

ExVul рекомендувала, щоб «докази імпорту між ланцюгами мусили зв’язувати кожен ефект подальшого переказу з автентичними даними payload до виконання». Компанія з безпеки порадила мостам «додати сувору валідацію payload-to-execution, оборону в глибину навколо верифікації доказів і призупиняти вихідні потоки, коли виявляють аномальні імпорти».

## Пов’язані інциденти

Експлойт Verus відбувається після того, як THORChain у суботу підтвердив, що постраждав від експлойту на 10 мільйонів доларів. Інцидент є частиною ескалаційної моделі атак на DeFi у 2026 році.