Verus Protocol 的以太坊(Ethereum)跨鏈橋在週一遭到利用,透過一則偽造的跨鏈轉帳訊息,讓駭客得以詐欺性地轉走至少 1,158 萬美元的加密貨幣。鏈上安全平台 Blockaid 針對持續中的攻擊進行辨識,並記錄了一筆交易,顯示轉帳了 1,625 Ether(ETH)、147,659 USDC,以及 103.57 tBTC v2,價值超過 1,150 萬美元。被竊資金此後已轉換為 Ether,攻擊者錢包餘額為 5,402 Ether,依 Etherscan 換算約為 1,140 萬美元。區塊鏈安全公司 PeckShield 也已確認該轉帳屬於此次利用事件。此次事件反映了去中心化金融(DeFi)漏洞的更廣泛趨勢:在 2026 年第一季,加密駭客從 34 個去中心化金融協議中竊走超過 1.686 億美元;而 4 月出現了今年兩起最大規模的攻擊——3.28 億美元 Drift Protocol 利用案,以及 2.92 億美元 Kelp 利用案。
## 利用細節
Blockaid 的偵測系統在週一辨識出該利用,並在 Etherscan 上分享了交易資料。遭竊資產包含 1,625 ETH、147,659 USDC 與 103.57 tBTC v2。PeckShield 確認該轉帳為利用事件,且鏈上資料顯示資金已在攻擊者錢包中轉換為 5,402 Ether。
## 技術分析
Blockaid 表示,Verus Protocol 事件與 1.9 億美元的 Nomad Bridge 利用案,以及 2022 年的 3.25 億美元 Wormhole 利用案相似。攻擊者透過欺騙協議,使其相信轉帳指令為真,進而導致該橋將資金從其儲備匯出至攻擊者錢包。
Blockaid 將根因歸因於 checkCCEValues 中缺少來源金額驗證(來源金額驗證),修復大約需要 10 行 Solidity 程式碼。該安全公司強調,這是「NOT an ECDSA bypass. NOT a notary key compromise. NOT a parser/hash-binding bug.」
區塊鏈安全供應商 ExVul 得出相近結論,表示攻擊者使用了「forged cross-chain import payload」,使其通過了「bridge's verification flow」,並導致「three attacker-attached transfers to the drainer wallet.」
## 安全建議
ExVul 建議「跨鏈匯入(cross-chain import)證明必須在執行前,將每個下游轉帳效果綁定到經過驗證的 payload 資料」。該安全供應商也建議橋接(bridge)方「加入嚴格的 payload-to-execution 驗證機制,並在證明驗證周邊採取分層防禦;一旦偵測到異常匯入,應暫停對外匯出流程。」
## 相關事件
Verus 利用案之後,在週六 THORChain 也確認它遭受了 1,000 萬美元的利用。此次事件是 2026 年去中心化金融(DeFi)攻擊升溫模式的一部分。
