Май в DeFi неспокойный! Мост Verus был взломан на 11,58 миллиона долларов, количество атак в этом месяце увеличилось до 13 случаев

Основной упор на конфиденциальность и децентрализацию блокчейн-сети Verus, её мост через Ethereum подвергся хакерской атаке, в результате которой уже потеряно около 11,58 миллиона долларов. До инцидента с Verus в мае было атаковано 12 DeFi-проектов.

Взлом моста Verus через цепочку Ethereum, убытки превышают 11,58 миллиона долларов

Основной упор на конфиденциальность и децентрализацию блокчейн-сети Verus, её мост через Ethereum подвергся хакерской атаке, в результате которой уже потеряно около 11,58 миллиона долларов. В настоящее время официальные представители не сделали публичных комментариев или заявлений СМИ.

Согласно расследованию компаний по кибербезопасности PaxShield и Blockaid, данные на блокчейне показывают, что злоумышленники вывели из моста 103,6 tBTC, 1 625 ETH и 140 700 USDC, после чего все украденные активы были обменены на 5 402 ETH.

Источник изображения: Blockaid

Аналитики из организации GoPlus дополнительно выяснили, что злоумышленники, по всей видимости, отправили низкоценовые транзакции в контракт моста и вызвали определённые функции, позволяющие перевести резервные активы массово на кошельки хакеров. Этот инцидент, скорее всего, связан с подделкой межцепочечных сообщений, обходом логики вывода средств или уязвимостью в системе контроля доступа.

Основатель SlowMist Юй Цзянь также отметил, что причина кражи могла заключаться в том, что злоумышленники создали поддельное доказательство Merkle, прошедшее проверку моста Verus через Ethereum (неоткрытый исходный код), что позволило им успешно вывести средства (ETH/tBTC/USDC). Детали требуют дальнейшей проверки.

Источник изображения: Юй Цзянь

Кроме того, перед началом атаки злоумышленники примерно за 14 часов перевели через миксер Tornado Cash 1 ETH в качестве начального капитала. На данный момент команда Verus не сделала публичных заявлений по этому инциденту.

Инцидент с Verus произошёл через три дня после атаки на THORChain

Время взлома моста Verus совпало с событием, когда три дня назад был взломан другой известный протокол ликвидности Cross-chain — THORChain.

По сообщению «Крипто-город», 5 мая THORChain подтвердил, что подвергся хакерской атаке, в результате которой было украдено примерно 10,8 миллиона долларов. После обнаружения подозрительных транзакций команда немедленно приостановила торговлю и некоторые функции межцепочечной передачи, а также начала совместное расследование с командой безопасности.

Предварительное расследование показало, что злоумышленники, по всей видимости, использовали механизм многосторонней подписи GG20 TSS и уязвимость в работе злонамеренных узлов, что позволило им успешно похитить средства. Однако кошельки обычных пользователей не пострадали, ущерб сосредоточен в ликвидности протокола и внутренних пулах активов.

Цели хакеров в DeFi сместились на инфраструктурный уровень, увеличилась скрытность и разрушительная сила

В этом году DeFi переживает неспокойные времена. Согласно данным DeFiLlama, до инцидента с Verus в мае 2026 года было атаковано 12 DeFi-протоколов, совокупные убытки за месяц превысили 20 миллионов долларов, а вместе с Verus — уже 13 протоколов, с потерями в миллионы долларов.

Недавние атаки показывают, что злоумышленники переключили свою цель с поиска уязвимостей в смарт-контрактах на более низкоуровневые инфраструктурные слои.

Риски межцепочечных протоколов значительно выше, чем у односторонних DeFi, поскольку их архитектура включает синхронизацию межцепочечных данных, верификационные узлы, маршрутизацию активов и мультиподписи, что усложняет защиту.

Современные атаки на инфраструктурный уровень включают удалённые вызовы процедур (RPC), сети верификации, оракулы и системы межцепочечной информации. Такие атаки зачастую труднее обнаружить, а при успешном выполнении могут напрямую повлиять и перенести крупные суммы.

На примере инцидента с KelpDAO в начале 2026 года, когда протокол за короткое время потерял до 292 миллиона долларов, отчёт LayerZero отметил, что основная проблема заключалась в использовании единственного верификатора в межцепочечной настройке KelpDAO.

Источник изображения: KelpDAO, инцидент начала 2026 года, когда KelpDAO был взломан и потерял до 292 миллионов долларов

Злоумышленники, загрязняя RPC, изменили состояние некоторых узлов в цепочке, что привело к неправильной проверке информации верификаторами, и в итоге позволило им подделать межцепочечные данные и обойти системы безопасности. Соучредитель LayerZero публично признал ошибку в проектировании протокола и заявил о готовности взять на себя ответственность.

• **Подробный отчёт:**LayerZero впервые признал ошибку проектирования: анализ уязвимостей, позволивших KelpDAO потерять 290 миллионов долларов

Кризис — возможность для переосмысления, возвращение к безопасной модели в DeFi

2026 год стал, без сомнения, неспокойным для DeFi, однако частые инциденты безопасности также стали стимулом для отрасли к переоценке и развитию.

Многие системы межцепочечной децентрализации, заявляющие о высокой степени децентрализации, на практике всё ещё сильно зависят от небольшого числа верификационных узлов или промежуточной инфраструктуры. Если один узел будет скомпрометирован, злоумышленники смогут подделать межцепочечные данные и создавать или переносить активы по своему усмотрению.

По мере роста объёмов средств на цепочках, хакеры вкладывают всё больше ресурсов в изучение слабых мест инфраструктурных слоёв, что увеличивает сложность атак и потенциальный масштаб разрушений.

В будущем развитие DeFi, скорее всего, перейдёт от стремления к быстрому инновационному росту к более безопасной и устойчивой модели. В неё войдут модульные архитектуры, разграничение полномочий, системы мгновенного мониторинга рисков и многоуровневые системы верификации, что станет ключевыми аспектами следующего этапа инфраструктурного развития. По мере того, как межцепочечные протоколы станут важной частью децентрализованных финансов, требования к их стабильности и безопасности станут ещё строже.

Одновременно крупные протоколы, открыто признающие недостатки своих архитектурных решений, свидетельствуют о формировании более зрелой культуры ответственности в Web3. После инцидента с KelpDAO индустрия быстро собрала 300 миллионов долларов для спасения проблемных активов, что демонстрирует устойчивость экосистемы Ethereum.

Дополнительные материалы:
DeFi слишком медленен для молодых, слишком рискован для старых: все ли мы зарабатываем на государственных облигациях, рискуя мусорными долгами?

Спасая плохие долги DeFi! Aave и другие крупные игроки быстро собрали 300 миллионов долларов, демонстрируя командную работу экосистемы Ethereum