18 мая 2026 года злоумышленник вывел около $11.5 млн из моста Verus-Ethereum Bridge — сервиса, который позволяет переводить активы между блокчейном Verus и сетью Ethereum. Атака стала возможной из-за того, что мост проверял форму сообщения, но не проверял, есть ли за ним реальные деньги. Мост выплатил средства из собственных резервов — фактически из кармана других пользователей.
Что такое мост и как он работает
Мост (bridge) — это сервис, который позволяет переводить токены из одного блокчейна в другой. Представьте: у вас есть монеты в одном городе, а потратить их нужно в другом. Мост как обменный пункт: вы сдаёте монеты на одной стороне, и получаете их эквивалент на другой.
В нормальной схеме всё выглядит так:
1️⃣ Пользователь блокирует активы на стороне Verus.
2️⃣ Мост получает сообщение: «Заблокировано столько-то».
3️⃣ На стороне Ethereum мост выплачивает эквивалентную сумму.
Почему это стало возможным
Мост проверял, правильно ли оформлено сообщение о переводе — все подписи, форматы, техническая валидность. Но не проверял главного: заблокированы ли реальные активы на стороне Verus в том количестве, которое указано для выплаты.
Говоря простыми словами: мост смотрел на квитанцию и говорил «квитанция оформлена правильно» — не проверяя, были ли деньги внесены на самом деле.
Атакующий сформировал такой cross-chain импорт (запрос на перевод между сетями), который выглядел технически корректным, но не имел реального обеспечения. Мост принял его и выплатил из своих резервов:
- 1 625 ETH
- 103.5 tBTC v2 (токенизированный биткоин в сети Ethereum)
- 147 658 USDC (стейблкоин, привязанный к доллару)
Транзакция: 0x6990f01720f57fc515d0e976a0c4f8157e0a9529194c4c15d190e98d087eb321
Детали расследования: движение средств
1️⃣ Все активы поступили на адрес атакующего 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 в сети Ethereum.
2️⃣ USDC и tBTC v2 были обменяны на ETH через децентрализованные биржи (площадки для обмена токенов без посредников).
3️⃣ На момент расследования на адресе атакующего остаётся около 5 402 ETH — средства никуда не переводились и не скрывались.
Заключение
Атака на Verus-Ethereum Bridge — наглядный пример того, как отсутствие одной проверки в логике моста позволяет вывести миллионы. Контракт верил подписанным сообщениям, не задавая вопрос «а где реальные деньги?».
То, что средства по-прежнему лежат на одном адресе без движения, даёт определённые шансы на отслеживание и возможное замораживание на биржах. Команда КоинКит продолжает мониторинг адреса.
