Травень у DeFi неспокійний! Міст Verus між ланцюгами був зламаний на 11,58 мільйонів доларів, кількість атак цього місяця зросла до 13.

Основний акцент на приватності та децентралізації блокчейн-мережі Verus, її мости між Ethereum наразі зазнають хакерської атаки, вже втративши близько 11,58 мільйонів доларів США. Перед інцидентом з Verus у травні було атаковано 12 DeFi-проектів.

Злом моста між Verus і Ethereum викликав тривогу, збитки понад 11,58 мільйонів доларів

Основний акцент на приватності та децентралізації блокчейн-мережі Verus, її мости між Ethereum наразі зазнають хакерської атаки, наразі офіційно ще не зроблено публічної або медіа-реакції.

Згідно з розслідуваннями компаній з кібербезпеки PaceShield та Blockaid, дані на блокчейні показують, що зловмисники зняли з мосту 103,6 тис. tBTC, 1 625 ETH та 140 700 USDC, і всі ці викрадені активи були обміняні на 5 402 ETH.

Джерело зображення: Blockaid

За аналізом безпекової компанії GoPlus, зловмисники ймовірно надіслали низькоцінні транзакції до контракту моста та викликали певні функції, що дозволили їм масово переказати резервні активи на свої гаманці. Цей інцидент, ймовірно, спричинений підробкою повідомлень між ланцюгами, обходом логіки виведення коштів або вразливістю у контролі доступу.

Засновник SlowMist Юй Цзянь також зазначив, що причиною викрадення може бути створення підробленого доказу Merkle, який пройшов перевірку Verus Ethereum мосту (який не є відкритим кодом), і тому зловмисники успішно вивели кошти (ETH/tBTC/USDC). Деталі ще потребують підтвердження.

Джерело зображення: Юй Цзянь

Крім того, перед початком атаки приблизно за 14 годин зловмисник переказав через змішувач Tornado Cash 1 ETH як початковий капітал. На даний момент команда Verus ще не зробила офіційної заяви щодо цієї події.

Інцидент з Verus трапився через три дні після інциденту з THORChain

Часовий проміжок між атакою на мост Verus і підтвердженим злом THORChain — три дні.

За повідомленням «Крипто Місто», 5 травня THORChain підтвердив, що його зламали, і збитки склали близько 10,8 мільйонів доларів. Після виявлення підозрілих транзакцій команда терміново призупинила торгівлю та частину функцій між ланцюгами, розпочавши розслідування у співпраці з командами безпеки.

Попереднє розслідування показало, що хакери, ймовірно, скористалися багами у механізмі мультипідпису GG20 TSS та уразливістю у роботі зловмисних вузлів, але гаманці звичайних користувачів не були скомпрометовані. Збитки зосереджені переважно у ліквідності протоколу та внутрішніх активних пулах.

Мішень для DeFi-хакерів стає інфраструктурний рівень, зростає прихованість і руйнівна сила

Цього року DeFi переживає неспокій. За даними DeFiLlama, до інциденту з Verus у травні 2026 року вже було атаковано 12 DeFi-протоколів, загальні збитки за місяць склали понад 20 мільйонів доларів, а разом з Verus — 13 проектів із збитками у мільйони доларів.

Останні кілька атак показують, що ціль зловмисників змістилася з пошуку вразливостей у смарт-контрактах до більш глибоких рівнів інфраструктури.

Ризики міжланцюгових протоколів значно вищі, ніж у одноланцюгових DeFi, оскільки їх архітектура включає синхронізацію між ланцюгами, верифікаційні вузли, маршрутизацію активів та мультипідпис.

Сучасні атаки на інфраструктурний рівень включають віддалені виклики процедур (RPC), мережі верифікації, оракули та системи міжланцюгової інформації. Ці атаки зазвичай важко виявити, а при успіху вони можуть безпосередньо впливати і переказувати великі обсяги коштів.

На прикладі інциденту з KelpDAO на початку 2026 року, протягом короткого часу було втрачено до 292 мільйонів доларів. Звіт LayerZero, пізніше опублікований, вказує, що основна проблема полягає у використанні єдиного верифікатора у налаштуваннях KelpDAO.

Джерело зображення: KelpDAO 2026 року, інцидент з KelpDAO, протягом короткого часу втратив до 292 мільйонів доларів

Зловмисники, шляхом забруднення RPC, змінили стан деяких вузлів у ланцюгу, що призвело до неправильного судження верифікаторів щодо достовірності інформації, і в підсумку їм вдалося підробити міжланцюгові дані та обійти системи безпеки. Співзасновник LayerZero відкрито визнав, що у проекті є прорахунки у дизайні, і взяв на себе відповідальність.

• **Детальний звіт:**LayerZero визнає прорахунок у дизайні: аналіз безпечних слабкостей, що дозволили KelpDAO вкрасти 2,9 мільярда доларів

Криза — можливість для перезавантаження, перехід до переосмислення DeFi

2026 рік без сумніву став неспокійним для сфери DeFi, але часті інциденти безпеки також стимулювали галузь до переоцінки та зростання.

Багато систем міжланцюгової децентралізації, що проголошують свою децентралізацію, насправді сильно залежать від кількох верифікаційних вузлів або проміжної інфраструктури. Якщо один вузол буде скомпрометований, зловмисники зможуть підробити міжланцюгову інформацію і створити або переказати активи з нуля.

З розширенням обсягів коштів на ланцюгах, хакери вкладають більше ресурсів у пошук вразливостей у архітектурі міжланцюгових протоколів, що підвищує складність атак і потенційний масштаб руйнувань.

Майбутній розвиток DeFi, ймовірно, зосередиться не лише на швидкості інновацій, а й на безпеці та стабільності. Модульна архітектура, ізоляція прав, миттєвий моніторинг ризиків і багаторівнева верифікація стануть ключовими аспектами наступного етапу інфраструктури. Оскільки міжланцюгові протоколи стають основою децентралізованих фінансів, вимоги до їхньої стабільності та безпеки будуть зростати.

Одночасно, готовність великих протоколів відкрито визнавати недоліки архітектури свідчить про формування більш зрілої культури відповідальності у Web3. Після інциденту з KelpDAO галузь швидко зібрала 300 мільйонів доларів для порятунку проблемних активів, що демонструє стійкість екосистеми Ethereum.