Хакер вывел 11,58 миллиона долларов из моста Verus-Ethereum

Хакер вывел активы на сумму приблизительно 11,58 миллиона долларов из моста Verus-Ethereum в ходе одной транзакции, произошедшей 17 мая 2026 года. Атака была направлена на кроссчейн-инфраструктурный проект, который ранее явно позиционировал себя как защищенный от того типа уязвимостей смарт-контрактов, который и привел к его взлому.

Детали инцидента и украденные активы

Эксплойт был зафиксирован в реальном времени компанией по блокчейн-безопасности Blockaid, а детали впоследствии были распространены аккаунтом ончейн-аналитики @coinxtreme_en в социальной сети X. Согласно опубликованным данным, кошелек злоумышленника с адресом 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 получил в рамках одной исходящей транзакции приблизительно 1625 ETH на сумму около 3,43 миллиона долларов, 103,57 tBTC стоимостью примерно 7,96 миллиона долларов и 147 000 USDC. Как сообщается в посте, большая часть украденных активов была впоследствии конвертирована в ETH через децентрализованную биржу Uniswap.

Маркетинг, усугубивший последствия атаки на Ethereum

Данная атака наносит особенно сильный удар с учетом того, как Verus позиционировал свой мост. На главной странице проекта содержались утверждения о том, что мост «валидируется правилами протокола, а не пользовательским кодом». Это был прямой призыв к пользователям, уставшим от уязвимостей смарт-контрактов, которые стали причиной самых разрушительных эксплойтов в сфере децентрализованных финансов (DeFi). Архитектура Verus основывалась на криптографических доказательствах, нотариальных свидетелях и валидации на уровне протокола, а не на пользовательской логике контрактов, которую злоумышленники неоднократно использовали для атак на другие мосты, как отмечается в посте @coinxtreme_en. Ирония ситуации, по мнению авторов поста, заключается в том, что маркетинговое заявление об «отсутствии кода для эксплуатации» стало самым серьезным уязвимым местом моста после того, как эксплойт был реализован.

Подозрительная хронология событий

Последовательность событий за 48 часов до атаки вызывает вопросы, которые, как описывается в посте, указывают на целенаправленную и сложную операцию, а не на оппортунистическое сканирование уязвимостей. За два дня до эксплойта команда Verus выпустила экстренное обновление под названием версия 1.2.14-2, которое было описано как срочное и обязательное, со ссылкой на нераскрытую уязвимость. Согласно публикации @coinxtreme_en, кошелек атакующего был пополнен через миксер Tornado Cash примерно через 11-13 часов после этого объявления. Такая временная закономерность характерна для действий злоумышленника, который заранее знал об уязвимости и использовал окно, открывшееся после объявления об экстренном обновлении, для подготовки инфраструктуры атаки до ее выполнения. Подобная схема не нова для DeFi. Экстренные исправления, которые раскрывают существование уязвимости, но не устраняют ее полностью, исторически предоставляли опытным злоумышленникам узкое временное окно для действий до того, как более широкое сообщество осознает степень угрозы.

Уязвимость кроссчейн-мостов и уроки для индустрии

Кроссчейн-мосты остаются наиболее структурно уязвимым уровнем децентрализованных финансов, на долю которых приходится непропорционально большая часть общих потерь DeFi с 2021 года. Инцидент с Verus подтверждает принцип, за который зарождающийся сектор уже неоднократно платил девятизначными суммами убытков: проектные допущения на уровне протокола, какими бы элегантными они ни были в теории, не являются заменой формальной верификации, независимым аудитам и операционной дисциплине, необходимой для приостановки работы систем при обнаружении реальной угрозы. Еще один мост пал. Разрыв между «невзламываемым по замыслу» и «невзломанным на практике» остается таким же большим, как и прежде.

Заключение

На момент написания данной статьи цена Ethereum демонстрирует признаки дальнейшего снижения после спокойных выходных. Криптовалюта потеряла около 10% за последнюю неделю и примерно 3% за последние 24 часа. Инцидент с мостом Verus-Ethereum служит очередным напоминанием о сохраняющихся рисках в экосистеме DeFi, особенно в сегменте кроссчейн-инфраструктуры, где даже проекты с продвинутой архитектурой могут оказаться уязвимыми для целенаправленных атак. Дальнейшее развитие ситуации будет зависеть от действий команды Verus по возврату средств и усилению безопасности, а также от общего состояния рынка криптовалют.