Verus以太坊橋被利用漏洞損失11.58萬美元，研究人員發現漏洞源自於跨鏈驗證缺陷。

Web3 安全平台 Blockaid 報告稱，其漏洞檢測系統已發現針對以太坊跨鏈橋的持續攻擊。 VERUS迄今為止，已轉移的資產約達 11.58 萬美元。

根據分析，疑似根本原因類似於 2022 年 Wormhole 橋漏洞和 Nomad 橋漏洞中出現的漏洞，這些漏洞都存在著源鏈價值承諾和目標鏈支付之間的差距。 

調查人員表示，該橋接器成功驗證了多個加密元件，包括經過公證的 Verus 狀態根、有效的公證簽章、跨鏈導出的 Merkle 證明以及與序列化轉帳關聯的雜湊綁定。然而，該系統據稱未能確認源鏈上的導出內容是否包含足夠的金額、費用或銷毀資產，以支援在以太坊上執行的支付。

研究人員表示，攻擊者創建了一筆價值約 0.02 VRSC 的小額交易，其中包含一個 Verus 跨鏈導出，該導出承諾了一個支付哈希值，但相關的源端總額實際上為空。據報道，該協議接受了這筆交易，公證人隨後對生成的根狀態進行了簽名。攻擊者隨後使用一個序列化的轉帳有效載荷調用了以太坊上的 submitImports() 函數，該有效載荷的雜湊值與承諾值相符。驗證後，該橋釋放了價值 1,625 ETH、103 tBTC 和約 147,000 USDC 的儲備資產。據報道，此次攻擊的執行成本估計約為 10 美元的 VRSC 交易費，而收益總額約為 11.58 萬美元。

Blockaid強調，此事件與ECDSA繞過、公證金鑰外洩或解析/雜湊綁定缺陷無關。該公司將此漏洞歸因於checkCCEValues流程中缺少來源金額驗證邏輯，並表示該問題可以透過對Solidity程式碼進行相對較小的更新來修復。

保全公司 GoPlus 表示，攻擊者透過單筆交易從以太坊橋的以太坊端竊取了大量儲備資產。分析師指出，這次攻擊遵循了 2026 年多起與橋相關的事件中常見的模式，此前針對 Kelp DAO 和 Hyperbridge 等項目的攻擊據報道已造成整個行業數億美元的累計損失。

據 GoPlus 稱，攻擊者的錢包目前持有約 5,402 個 ETH。據報道，這些資金尚未經過洗錢、橋接或廣泛分發，因此仍有可能進行追蹤或追回。調查人員補充說，攻擊者提交了一筆小額交易，並調用了編號為 0x8c49b257 的特定合約函數，隨後觸發了漏洞。橋接合約將儲備資產直接轉移到了攻擊者控制的錢包。這些發現表明，跨鏈訊息驗證、提現驗證或存取控制機制可能存在潛在缺陷。

區塊鏈安全公司 PeckShield 後來報告稱，攻擊者的地址最初在漏洞利用發生前約 14 小時透過 Tornado Cash 獲得了 1 個 ETH 的資金。

截至目前，Verus 尚未就此事發表公開評論，也沒有就此漏洞向用戶發出正式警告。

Verus洩漏事件加劇了風險上升。 DeFi 安全損失

Verus 是一個專注於隱私的區塊鏈網絡，於 2018 年推出，採用混合的權力證明共識機制，結合了工作量證明和權益證明機制。 2023 年 10 月，該專案推出了 Verus-以太坊橋，旨在允許用戶在 Verus 生態系統和以太坊網路之間轉移和轉換資產。

此次針對Verus橋的攻擊正值跨鏈基礎設施攻擊激增之際。區塊鏈安全公司PeckShield報告稱，2026年2月至5月中旬期間，至少發生了8起與橋接相關的重大安全漏洞事件，造成的總損失估計約為328.6億美元。這些數據凸顯了跨鏈協議持續面臨的風險，它們仍然是去中心化金融領域最常遭受攻擊的領域之一。

Verus事件是近期幾起引人注目的橋接漏洞事件之一。 5月15日，THORChain在一次多鏈漏洞攻擊中暫時停止交易活動，影響了包括比特幣、以太坊、BNB鍊和Base在內的多個網路。初步估計損失略高於1000萬美元，調查人員仍在繼續監控與被盜資金相關的地址。

5月14日，TAC披露了另一起事件，其跨鏈基礎設施的TON部分據稱遭到入侵。該項目表示，約280萬美元的USDT、BLUM和tsTON資產被盜。 TAC補充說，TON原生資產、TAC資產以及從以太坊橋接的ERC-20代幣未受此攻擊影響。隨後，該協議暫停了橋接操作，安全團隊對攻擊展開了取證調查。