Май в DeFi неспокойный! Мост Verus был взломан на 11,58 миллиона долларов, количество атак в этом месяце увеличилось до 13.

Основной упор на конфиденциальность и децентрализацию блокчейн-сети Verus, её мост через Ethereum подвергся хакерской атаке, в результате которой уже потеряно около 11,58 миллиона долларов. До инцидента с Verus, в мае было атаковано 12 DeFi-проектов.

Сообщение о взломе моста Verus, убытки свыше 11,58 миллиона долларов

Основной упор на конфиденциальность и децентрализацию блокчейн-сети Verus, её мост через Ethereum подвергся хакерской атаке, в результате которой уже потеряно около 11,58 миллиона долларов. В настоящее время официальные представители не сделали публичных заявлений или комментариев.

Согласно расследованию компании по кибербезопасности PaxShield и Blockaid, данные на блокчейне показывают, что злоумышленники вывели из моста 103,6 tBTC, 1 625 ETH и 147 000 USDC, после чего все украденные активы были обменены на 5 402 ETH.

Источник изображения: Blockaid

Анализируя ситуацию, команда безопасности GoPlus предположила, что злоумышленники, вероятно, отправили низкобюджетные транзакции в контракт моста и вызвали определённые функции, позволяющие перевести резервные активы массово на кошельки хакеров. Этот инцидент, скорее всего, связан с подделкой межцепочечных сообщений, обходом логики вывода средств или уязвимостью в контроле доступа.

Основатель SlowMist Юй Цзянь также отметил, что причина кражи могла заключаться в том, что злоумышленники создали поддельное доказательство Merkle, прошедшее проверку на мосту Verus Ethereum (неоткрытом исходном коде), что позволило им успешно вывести средства (ETH/tBTC/USDC). Детали требуют дальнейшей проверки.

Источник изображения: Юй Цзянь

Кроме того, перед началом атаки злоумышленник примерно за 14 часов перевёл через миксер Tornado Cash 1 ETH в качестве начального капитала. На данный момент команда Verus официально не дала публичных комментариев по инциденту.

Инцидент с Verus произошёл через три дня после атаки на THORChain

Время взлома моста Verus совпало с событием, когда три дня назад был взломан другой известный протокол межцепочечной ликвидности THORChain.

По сообщению «Крипто-город», THORChain 15 мая подтвердил, что подвергся хакерской атаке, в результате которой было украдено примерно 10,8 миллиона долларов. После обнаружения подозрительных транзакций команда немедленно приостановила торговлю и некоторые функции межцепочечной передачи, начав совместное расследование с командой безопасности.

Предварительное расследование показало, что злоумышленники, вероятно, использовали механизм многосторонней подписи GG20 TSS и уязвимость в работе злонамеренных узлов, что позволило им успешно получить доступ. Однако кошельки обычных пользователей не пострадали, ущерб сосредоточен в ликвидности протокола и внутренних пулах активов.

Цели хакеров в DeFi сместились на инфраструктурный уровень, увеличивая скрытность и разрушительную силу

В этом году DeFi переживает неспокойное время. Согласно данным DeFiLlama, до инцидента с Verus в мае 2026 года было атаковано 12 DeFi-протоколов, совокупные убытки за месяц превысили 20 миллионов долларов, а вместе с Verus — уже 13 протоколов, с потерями в миллионы долларов.

Недавние атаки показывают, что злоумышленники переключили свою цель с поиска уязвимостей в смарт-контрактах на более низкоуровневую инфраструктуру.

Риски межцепочечных протоколов значительно выше, чем у односторонних DeFi, поскольку их архитектура включает синхронизацию межцепочечной информации, верификационные узлы, маршрутизацию активов и мультиподписи, что усложняет защиту.

Современные атаки на инфраструктурный уровень включают удалённые вызовы (RPC), сети верификации, оракулы и системы межцепочечной информации. Такие атаки труднее обнаружить, а при успешном выполнении — они могут напрямую повлиять и перевести крупные суммы средств.

Например, инцидент с KelpDAO в начале 2026 года, когда протокол за короткое время потерял до 292 миллиона долларов. В отчёте LayerZero говорится, что основная проблема заключалась в использовании единственного верификационного узла в межцепочечной настройке KelpDAO.

Источник изображения: KelpDAO, инцидент начала 2026 года, когда протокол потерял до 292 миллиона долларов

Злоумышленники, загрязняя RPC, изменили состояние некоторых узлов в цепочке, что привело к неправильной проверке информации верификаторами, и в итоге удалось подделать межцепочечные данные и обойти системы безопасности. Соучредитель LayerZero публично признал ошибку в проектировании протокола и заявил о готовности взять на себя ответственность.

• Подробный отчёт:** LayerZero впервые признал ошибку в дизайне: анализ уязвимостей, позволивших KelpDAO потерять 290 миллионов долларов**

Кризис — возможность для переосмысления, возвращение к безопасной модели

2026 год стал, без сомнения, неспокойным для DeFi, но многочисленные инциденты послужили стимулом для отрасли к переоценке и развитию.

Многие системы межцепочечной децентрализации, заявляющие о высокой степени децентрализации, на практике всё ещё сильно зависят от нескольких верификационных узлов или промежуточной инфраструктуры. Если один узел будет скомпрометирован, злоумышленники смогут подделать межцепочечную информацию и создавать или переводить активы по своему усмотрению.

По мере роста объёмов средств на цепочке, хакеры вкладывают всё больше ресурсов в изучение слабых мест межцепочечных архитектур, что увеличивает сложность атак на инфраструктурный уровень и потенциальный масштаб ущерба.

В будущем развитие DeFi, скорее всего, перейдёт от стремления к быстрому инновационному росту к более безопасной и устойчивой модели. В неё войдут модульные архитектуры, разграничение полномочий, системы мгновенного мониторинга рисков и многоуровневые системы верификации, что станет ключевыми аспектами инфраструктуры следующего поколения. По мере того, как межцепочечные протоколы станут основой децентрализованных финансов, требования к их стабильности и безопасности станут ещё строже.

Одновременно, готовность крупных протоколов открыто признавать проектные недостатки свидетельствует о формировании более зрелой культуры ответственности в Web3. После инцидента с KelpDAO индустрия быстро собрала 300 миллионов долларов для спасения плохих долгов, что демонстрирует устойчивость экосистемы Ethereum.

Дополнительные материалы:
DeFi слишком медленен для молодых, слишком рискован для старых: мы все получаем проценты по госдолгам и рискуем мусорными облигациями?

Спасая DeFi от плохих долгов! Aave и другие крупные игроки быстро собрали 300 миллионов долларов, показывая кооперативные возможности экосистемы Ethereum