Verus-Ethereum Bridge 漏洞在持续攻击中损失了 1158 万美元

Verus-以太坊桥正受到积极的利用，已消耗了约 1158 万美元的数字资产。区块链安全公司 Blockaid 周日通过其漏洞检测系统发现了此次攻击。被盗资金包括 tBTC、ETH 和 USDC。攻击者随后将这些资产转换为 ETH。此后，多家安全公司证实了这一漏洞，并追踪了攻击者的链上活动。 Blockaid 是最早公开标记该漏洞的公司之一。该公司将攻击者的外部账户识别为地址“0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777”。耗尽的资金被转移到“0x65Cb8b128Bf6e690761044CCECA422bb239C25F9”的单独钱包中。 🚨 社区警报：Blockaid 的漏洞检测系统已识别出 @veruscoin Verus-Ethereum Bridge (https://t.co/HEwYZqFEfC) 上正在进行的漏洞。到目前为止，已耗尽约 1158 万美元。更多详细信息请参见🧵 — Blockaid (@blockaid_) 2026 年 5 月 18 日 Peckshield 提供了从桥上拿走的物品的详细分类。据该公司称，攻击者从该协议中窃取了 103.6 tBTC、1,625 ETH 和 147,000 USDC。这些资产随后被交换为大约 5,402 ETH，当时价值约为 1140 万美元。另一家安全公司 GoPlus 揭示了攻击中使用的方法。攻击者向桥接合约发送低价值交易并调用特定函数。该功能触发桥合约将其储备资产直接批量转移到消耗者的钱包中。该漏洞交易已公开记录在 Etherscan 上，提供透明的链上记录。涉及的桥接合约地址为“0x71518580f36feceffe0721f06ba4703218cd7f63”。安全研究人员继续监控所涉及的地址以进行进一步的移动。 Peckshield 还追踪了攻击者在实施漏洞之前最初是如何为他们的钱包提供资金的。攻击者的地址在攻击开始前大约 14 小时通过 Tornado Cash 收到了 1 ETH。 Tornado Cash 是一种加密货币混合器，通常用于掩盖链上资金的来源。这种融资方式是链上不良行为者寻求隐藏身份的公认模式。通过通过混合器路由启动资金，攻击者使得将漏洞利用钱包与任何先前历史记录联系起来变得更加困难。调查人员在追踪被盗资产的来源时通常会留意此类模式。截至撰写本文时，被盗资金仍保留在 Blockaid 识别的 Drainer 钱包中。 Verus 团队尚未公开发布确认的恢复措施或协议暂停公告。更广泛的 DeFi 社区已收到警告，避免在此期间与桥进行互动。这次攻击又增加了近年来困扰加密货币行业的一长串桥接攻击。由于其持有的大量储备和智能合约逻辑的复杂性，跨链桥仍然是一个高价值目标。