Verus-Ethereum 桥接漏洞导致 1160 万美元加密资产被盗，攻击者将资金兑换为 ETH

要点概览

• Verus-Ethereum 桥遭到攻击，约 1160 万美元加密资产被窃取。
• PeckShield 表示，被盗资产包括 103.6 tBTC、1,625 ETH 和 147,000 USDC。
• 攻击者将盗取资产兑换为约 5,402 ETH。
• 安全公司指出可能存在跨链消息验证漏洞。
• Verus 网络已暂停运行，开发者正在调查此次攻击。

---

(SeaPRwire) –   据监测该事件的区块链安全公司称，Verus-Ethereum 桥正遭受持续攻击，约 1160 万美元加密资产被抽空。

链上安全平台 Blockaid 表示，攻击于周日深夜被发现，攻击者钱包地址确认为 0x5aBb…D5777。据该公司称，被盗资金已被转移至另一钱包 0x65C…C25F9。

PeckShield 报告称，该桥损失了 103.6 tBTC、1,625 ETH 和 147,000 USDC。攻击者随后将这些资产兑换为约 5,402 ETH，按报道时价格计算价值约 1140 万至 1160 万美元。

攻击者 EOA：0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777
资金抽离钱包（仍持有资金）：0x65Cb8b128Bf6e690761044CCECA422bb239C25F9

攻击交易：https://t.co/OqBh2alXGc
桥合约：https://t.co/EN3LkDfId9

— Blockaid (@blockaid_) May 18, 2026

Verus 团队在其 Discord 频道中表示，Verus 网络已暂停运行，因大多数出块节点在应对攻击衍生问题时已自行离线。开发者正在调查攻击实施方式及后续应对措施。

安全公司指出桥验证漏洞

多家安全公司的初步分析表明，此次攻击可能涉及跨链消息验证机制的弱点，而非传统的私钥泄露。

GoPlus Security 表示，攻击者似乎先向桥合约发送了一笔低价值交易，随后调用某个函数导致储备资产被批量转移至攻击者钱包。

该公司称，该事件可能与跨链消息验证失败、提款逻辑绕过或访问控制缺陷有关。

Blockaid 随后提供了更具体的解释，称问题似乎出在桥验证函数中缺少源金额验证。该公司强调，此次攻击并非 ECDSA 绕过、并非公证人密钥泄露，也非解析器或哈希绑定漏洞。

ExVul 亦表示，攻击者使用了伪造的跨链导入载荷，该载荷通过了桥的验证流程。据该公司称，该攻击触发了多次从桥储备金向攻击者控制钱包的转账。

攻击者钱包通过 Tornado Cash 注资

PeckShield 表示，攻击者钱包在攻击发生前约 14 小时通过 Tornado Cash 注入了 1 ETH。Tornado Cash 常出现在 DeFi 攻击调查中，因其可掩盖用于启动链上活动的资金来源。

安全警报发布时，被盗资金已被兑换为 ETH。安全研究人员持续追踪该钱包的进一步动向。

Verus-Ethereum 桥于 2023 年 10 月上线，旨在让用户在 Verus 网络与以太坊之间转移和转换资产。Verus 本身于 2018 年启动，采用结合工作量证明（PoW）与权益证明（PoS）组件的混合“算力证明”（proof-of-power）模型。

该协议被描述为注重隐私，并将其桥宣传为支持 Verus 与基于以太坊资产之间跨链流动性的工具。

此次最新攻击引发关注，因桥通常持有支撑跨网络代币或转账的储备资产。验证逻辑中的漏洞可能使攻击者在未提供有效背书的情况下解锁桥一侧的资产。

DeFi 桥安全再遭审视

Verus 事件加剧了 2026 年去中心化金融领域一系列桥与互操作性攻击引发的担忧。

今年早些时候的安全报告称，黑客在第一季度从数十个 DeFi 协议盗走逾 1.68 亿美元。4 月则出现数起更大规模事件，包括 Kelp DAO 桥报告的 2.92 亿美元攻击及 Drift Protocol 重大漏洞。

周末期间，THORChain 亦确认另一起价值近 1000 万美元的攻击事件，进一步引发对跨链流动性系统的关注。

桥基础设施仍是加密市场最受关注的部分之一，因其连接各链资产并常掌控大量流动性池。安全公司已敦促协议方改进载荷验证、增加分层验证、实施速率限制，并为异常提款启用紧急暂停机制。

Verus 团队尚未发布完整的公开事后分析报告。更多细节将在开发者完成对攻击路径审查并确定用户资金能否追回后公布。