Verus-Ethereum 桥被利用 - 1,158万美元被盗

又一个跨链桥遭到攻击。Verus-Ethereum 桥在 5 月 17–18 日遭遇伪造的跨链转账攻击，攻击者从中转走了约 1,158 万美元的加密资产。

被盗内容：103.6 tBTC + 1,625 ETH + ~147K USDC

黑客将所有资产兑换成 5,402 ETH（约 1,140 万美元），并存放在一个单独的钱包中。资金在被盗前约 14 小时通过 Tornado Cash 转入——这是教科书级的攻击前布置。

根本原因（关键部分）：
这不是密钥被攻破、签名绕过或哈希碰撞。根据 Blockaid 的说法，这是“缺少源金额验证”：桥在验证 Merkle 证明和状态根方面是正确的，但从未检查源链上的交易是否实际上以真实价值支持了这笔支付。

简单来说：攻击者花了约 10 美元的手续费，伪造出了价值 1,150 万美元的资产。同类漏洞还曾出现在 2022 年的 Nomad（1.9 亿美元）和 Wormhole（3.25 亿美元）黑客攻击中。

CryptoPatel 总结：
桥仍然是 DeFi 最薄弱的环节。“加密验证”≠“经济验证”。在进行资产桥接之前，检查该协议的审计历史，并且不要让大量资金长期闲置在桥合约上。

Verus 团队目前尚未正式确认；以上数据来自 Blockaid、PeckShield 和 ExVul。

保持安全。永远自己做研究（DYOR）。