Травень у DeFi неспокійний! Мост Verus між ланцюгами був зламаний на 11,58 мільйонів доларів, кількість атак цього місяця зросла до 13.

Основний акцент на приватності та децентралізації у блокчейн-мережі Verus, її міжланцюговий міст на Ethereum зазнає хакерської атаки, наразі втрата становить близько 11,58 мільйонів доларів, перед інцидентом у Verus вже було атаковано 12 DeFi-проектів у травні.

Міжланцюговий міст Verus несподівано зазнав хакерської атаки, втрата понад 11,58 мільйонів доларів

Основний акцент на приватності та децентралізації у блокчейн-мережі Verus, її міжланцюговий міст на Ethereum зазнає хакерської атаки, наразі офіційно ще не зроблено публічної або медіа-коментарів.

Згідно з розслідуванням компаній з кібербезпеки Pax Shield та Blockaid, дані на ланцюгу показують, що зловмисники зняли з мосту 103,6 тBTC, 1625 ETH та 140 700 USDC, і всі ці викрадені активи були обміняні на 5402 ETH.

Джерело зображення: Blockaid

За даними аналітичної компанії GoPlus, зловмисники ймовірно надіслали низькоцінові транзакції до смарт-контракту мосту та викликали певні функції, що дозволило їм масово переказати резервні активи на свої гаманці. Цей інцидент, ймовірно, спричинений підробкою міжланцюгових повідомлень, обходом логіки виведення коштів або вразливістю у контролі доступу.

Засновник SlowMist Юй Цзянь також зазначив, що причиною викрадення може бути створення підробленого доказу Merkle, який пройшов перевірку мосту Verus на Ethereum (який не є з відкритим кодом), і тому зловмисники успішно вивели кошти (ETH/tBTC/USDC). Деталі ще потребують підтвердження.

Джерело зображення: Юй Цзянь

Крім того, перед початком атаки приблизно за 14 годин зловмисник переказав через Mixer Tornado Cash 1 ETH як початковий капітал. На даний момент команда Verus ще не зробила офіційної заяви щодо цієї події.

Інцидент з Verus трапився через три дні після атаки на THORChain

Час нападу на мост Verus співпав із триденним періодом після того, як відомий протокол міжланцюгової ліквідності THORChain був атакований.

За повідомленням «Крипто Місто», THORChain 15 травня підтвердив, що зазнав хакерської атаки, внаслідок якої було втрачено близько 10,8 мільйонів доларів. Після виявлення підозрілих транзакцій команда терміново призупинила торгівлю та частину функцій міжланцюгової взаємодії, розпочавши розслідування у співпраці з командою безпеки.

Попереднє розслідування показало, що зловмисники, ймовірно, скористалися багами у механізмі багатопідпису GG20 TSS та уразливістю у роботі з зловмисними вузлами, але гаманці звичайних користувачів не були скомпрометовані, а втрати зосереджені у ліквідності протоколу та внутрішніх активних пулах.

Мета хакерів у DeFi тепер змістилася на інфраструктурний рівень, з підвищеною прихованістю та руйнівною силою

Цього року DeFi переживає неспокій. За даними DeFiLlama, до інциденту з Verus у травні 2026 року вже було атаковано 12 DeFi-протоколів, загальні втрати за місяць склали понад 20 мільйонів доларів, а разом з Verus — вже 13 проектів із мільйонними збитками.

Останні атаки показують, що зловмисники все більше зосереджуються не лише на пошуку вразливостей у смарт-контрактах, а й на атаках на більш глибокі рівні інфраструктури.

Ризики міжланцюгових протоколів значно вищі за одноланцюгові DeFi, оскільки їх архітектура включає синхронізацію міжланцюгової інформації, валідаційні вузли, маршрутизацію активів та багатопідписні механізми.

Зараз атаки на інфраструктурний рівень включають віддалені виклики процедур (RPC), мережі валідації, оракули та системи міжланцюгової інформації. Ці атаки зазвичай важче виявити, і при успіху вони можуть безпосередньо впливати на великі обсяги коштів.

Як приклад, у випадку з KelpDAO на початку 2026 року, протокол за короткий час втратив до 292 мільйонів доларів. Звіт LayerZero після інциденту вказує, що основна проблема полягала у використанні єдиного валідатора у міжланцюгових налаштуваннях KelpDAO.

Джерело зображення: KelpDAO 2026 рік, інцидент з KelpDAO, що за короткий час спричинив втрату до 292 мільйонів доларів

Зловмисники, шляхом забруднення RPC, змінили стан частини вузлів у ланцюгу, що призвело до неправильного визначення валідаторами достовірності інформації, і в підсумку вони змогли підробити міжланцюгові дані та обійти системи безпеки. Співзасновник LayerZero відкрито визнав, що у проекті допущена помилка у дизайні, і взяв на себе відповідальність.

• **Детальний звіт:**LayerZero визнає дизайн-помилку: аналіз безпекових слабкостей, що дозволили KelpDAO вкрасти 290 мільйонів доларів

Криза — можливість для переосмислення, перехід до більш безпечної моделі DeFi

2026 рік без сумніву став неспокійним для сфери DeFi, але часті інциденти безпеки також стимулювали галузь до переоцінки та розвитку.

Багато систем міжланцюгової децентралізації, що позиціонуються як децентралізовані, насправді все ще сильно залежать від кількох валідаторів або проміжної інфраструктури. Якщо один валідатор буде скомпрометований, зловмисники зможуть підробити міжланцюгову інформацію та створити або перенести активи з нуля.

З розширенням обсягів коштів на ланцюгах, хакери вкладають більше ресурсів у пошук вразливостей у архітектурі міжланцюгових протоколів, що підвищує складність атак та потенційний масштаб руйнувань.

Майбутній розвиток DeFi, ймовірно, зосередиться не лише на швидкості інновацій, а й на безпеці та стабільності. Модульна архітектура, ізоляція прав, миттєвий моніторинг ризиків та багаторівнева валідація стануть ключовими аспектами наступного етапу інфраструктури. Оскільки міжланцюгові протоколи стають основою децентралізованих фінансів, вимоги до їхньої стабільності та безпеки будуть зростати.

Одночасно, готовність великих протоколів відкрито визнавати недоліки архітектури свідчить про формування більш зрілої культури відповідальності у Web3, а після інциденту з KelpDAO галузь швидко зібрала 300 мільйонів доларів для порятунку проблемних активів, що демонструє стійкість екосистеми Ethereum.**

Додаткове читання:
DeFi занадто повільний для молоді, занадто ризикований для старих грошей: чи не отримуємо ми від державних облігацій відсотки, беручи на себе ризик сміттєвих боргів?

Рятуємо проблемні активи DeFi! Aave та інші гіганти швидко зібрали 300 мільйонів доларів, демонструючи колективну здатність екосистеми Ethereum.