Verus –Ethereum -Bridge durch gefälschten Zahlungsnachweis um 11,5 Millionen US-Dollar erleichtert

Am 18. Mai erbeutete ein Angreifer mithilfe eines gefälschten Merkle-Proofs rund 11,5 Millionen US-Dollar von der Verus-Ethereum -Bridge. Dieser Vorfall reiht sich in die wachsende Zahl von Cross-Chain-Bridge-Exploits ein, die allein im Jahr 2026 bereits ein Volumen von 328,6 Millionen US-Dollar erreicht haben werden.

Die Verus-Ethereum -Bridge ist die jüngste, die in einem Monat, der scheinbar genau dort anknüpft, wo der rekordverdächtige April aufgehört hat, Opfer eines Exploits wurde.

Wie wurde Verus gehackt? 

Das Blockchain-Sicherheitsunternehmen PeckShieldAlert berichtete, dass der Angreifertrac103,6 tBTC, 1.625 ETH und 147.000 USDC aus dem Bridge-Vertrag extrahierttracgestohlenen Token anschließend in 5.402,4 ETH im Wert von etwa 11,4 Millionen US-Dollar getauscht habe. 

Laut PeckShieldAlert und Blockaid, die beidedentvoneinander auf die Sicherheitslücke aufmerksam gemacht haben, befinden sich die umgewandelten Gelder angeblich weiterhin in einer einzigen Wallet unter der Adresse 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.

Blockaid außerdemdentdas extern betriebene Konto des Angreifers und veröffentlichte den Hash der ausgenutzten Transaktion.

Wie funktionierte der Exploit?

Blockaid teilte einen Thread auf X mit, in dem er erklärte, dass der Angriff die gleiche Schwachstellenklasse aufwies wie zwei der berüchtigtsten Bridge-Hacks in der Kryptowelt: der Wormhole-Angriff mit einem Schaden von 320 Millionen US-Dollar und der Nomad-Angriff mit einem Schaden von 190 Millionen US-Dollar, beide im Jahr 2022. 

Angreifer-EOA: 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777
Wallet des Abschöpfers (hält die Gelder noch): 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9

Exploit-Transaktion: https://t.co/OqBh2alXGc
Bridge-trac: https://t.co/EN3LkDfId9

— Blockaid (@blockaid_) 18. Mai 2026

Laut Blockaid verifizierte die Verus-Bridge notariell beglaubigte Wurzelzuordnungen korrekt, einschließlich kryptografisch gültiger Signaturen von 8 der 15 Notare. Die Schwäche lag jedoch darin, was die Bridge über diesen Verifizierungsschritt hinaus nicht überprüfte. 

Cos, Gründer des Blockchain-Sicherheitsunternehmens SlowMist und auf X unter dem Namen @evilcos bekannt, erklärte: „Die Ursache des Hacks könnte darin liegen, dass der Angreifer einen gefälschten Merkle-Proof erstellt hat, der die Verifizierung der Verus Ethereum Bridge (nicht Open Source) bestanden hat. Dadurch konnte er die Gelder (ETH/tBTC/USDC) problemlos abheben.“ Cos fügte hinzu, dass „genaue Details noch weiterer Überprüfung bedürfen“.

Verus veröffentlichte nur zwei Tage vor dem Hack einen Notfall-Patch

Laut CoinXtremehatte Verus nur zwei Tage vor dem Exploit ein von ihnen als „dringend und obligatorisch“ bezeichnetes Notfall-Update, Version 1.2.14-2, veröffentlicht. 

Das Update wurde als Behebung einer Sicherheitslücke beschrieben; es ist jedoch noch nicht klar, ob das behobene Problem und die ausgenutzte Sicherheitslücke zusammenhängen, da Verus sich zum Zeitpunkt der Meldung noch nicht öffentlich zu demdent geäußert hat.

Bridge erzielt in diesem Jahr über 328 Millionen Dollar Umsatz

acht größere Brückeneinbrüche , der jüngste davon war der Einbruch der Verus-Brücke. Der Gesamtschaden beläuft sich auf rund 328,6 Millionen US-Dollar. 

Dies reiht sich ein in das Muster, das die Cross-Chain-Infrastruktur seit den schweren Sicherheitslücken in Bridges wie Wormhole und Nomad vor vier Jahren heimgesucht hat.

Kritiker weisen weiterhin darauf hin, dass Bridges nach wie vor attraktive Ziele darstellen, da sie große Mengen gesperrter Vermögenswerte verwahren und ein einziger Verifizierungsfehler den gesamten Pool freigeben kann.

Der DeFi Bereich war generell Angriffen ausgesetzt, wobei es von April bis Mai zu groß angelegten und kleineren Attacken kam. Cryptoplitan berichtete über bemerkenswerte Vorfälle im Mai, darunter Angriffe auf Ink Finance und Renegade mit einem Gesamtschaden von 349.000 US-Dollar sowie die Kompromittierung des privaten Schlüssels bei Syndicate Labs, die zum Verlust von 18,5 Millionen SYND-Token führte.

VRSC, der native Token des Verus-Netzwerks, wurde zum Zeitpunkt des Exploits laut Daten von CoinMarketCap bei etwa 0,75 US-Dollar gehandelt und hatte eine Marktkapitalisierung von über 60 Millionen US-Dollar.

Wenn Sie das hier lesen, sind Sie schon einen Schritt voraus. Bleiben Sie mit unserem Newsletter auf dem Laufenden.