Verus -Ethereum 브리지에서 위조된 증명 취약점을 이용해 1,150만 달러 상당의 자금이 유출되었습니다

5월 18일, 한 공격자가 위조된 머클 증명을 이용해 베루스-Ethereum 브리지에서 약 1,150만 달러를 빼돌렸습니다. 이 사건은 2026년 한 해 동안에만 총 3억 2,860만 달러에 달하는 크로스체인 브리지 공격 사례의 증가 추세에 또 다른 사례를 더했습니다.

베루스-Ethereum 브리지는 기록적인 4월에 이어 이번 달에도 계속해서 공격을 받고 있는 가운데, 최근 발생한 여러 공격 사례 중 가장 최근의 사례입니다.

Verus는 어떻게 해킹당했나요? 

블록체인 보안 회사인 PeckShieldAlert는 공격자가trac에서 103.6tBTC, 1,625ETH, 147,000USDC를 빼돌린trac, 훔친 토큰을 약 1,140만 달러 상당의 5,402.4ETH로 교환했다고 보고했습니다. 

PeckShieldAlert와 Blockaid는 모두dent으로 해당 취약점을 발견했으며, 이에 따르면 변환된 자금은 주소 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9의 단일 지갑에 남아 있는 것으로 알려졌습니다.

Blockaid는 또한dent공격자가 외부에서 소유한 계정을 식별하고 공격 거래 해시를 공개했습니다

해당 취약점은 어떻게 작동했나요?

Blockaid는 X에 게시된 글에서 이번 공격이 2022년에 발생한 3억 2천만 달러 규모의 웜홀 해킹과 1억 9천만 달러 규모의 노마드 해킹이라는 두 건의 악명 높은 암호화폐 브릿지 해킹 사건에 사용된 것과 동일한 취약점 유형을 이용했다고 밝혔습니다. 

공격자 EOA: 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777
자금 탈취범 지갑(여전히 자금을 보유 중): 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9

익스플로잇 트랜잭션: https://t.co/OqBh2alXGc
브리지trac: https://t.co/EN3LkDfId9

— 블록에이드 (@blockaid_) 2026년 5월 18일

Blockaid에 따르면 Verus 브리지는 15명의 공증인 중 8명의 암호학적으로 유효한 서명을 포함하여 공증된 상태 루트를 정확하게 검증했습니다. 그러나 문제는 브리지가 해당 검증 단계 이후에 확인하지 못한 부분에 있었습니다. 

블록체인 보안 회사 SlowMist의 설립자이자 X 플랫폼에서 @evilcos라는 닉네임으로 활동하는 Cos는 자금"해킹의 원인은 공격자가 위조된 머클 증명을 만들어 Verus Ethereum (ETH/tBTC/USDC)을 원활하게 인출할 수 있었던 것일 수 있다"고 밝혔습니다. Cos는 또한 "구체적인 세부 사항은 추가 검증이 필요하다"고 덧붙였습니다.

Verus는 해킹 발생 불과 이틀 전에 긴급 패치를 배포했습니다

에 따르면 CoinXtreme, Verus는 해당 취약점이 발생하기 불과 이틀 전에 "긴급하고 필수적인" 긴급 업데이트인 버전 1.2.14-2를 배포했습니다. 

이번 업데이트는 취약점 수정이라고 설명되었지만, Verus가 보도 시점까지 해당dent 에 대해 공식적인 입장을 밝히지 않았기 때문에 패치된 문제와 악용된 취약점이 관련이 있는지는 아직 불분명합니다.

브리지 관련 사업, 올해 3억 2800만 달러 이상 수익 창출

교량 관련 폭발 사고가 8건 PeckShieldAlert에 따르면 올해 들어 베루스 교량을 포함해 주요 

이는 웜홀(Wormhole)과 노마드(Nomad) 같은 브릿지가 4년 전 대규모 취약점 공격을 받은 이후로 크로스체인 인프라를 괴롭혀 온 패턴으로 여겨지는 현상에 더해지는 것입니다.

비평가들은 브릿지가 대규모의 잠긴 자산을 보관하고 있기 때문에 여전히 고가치 공격 대상이며, 단 하나의 검증 오류만으로도 전체 자산의 잠금을 해제할 수 있다고 계속 지적합니다.

업계 DeFi 는 4월부터 5월까지 대규모 및 소규모 공격을 잇달아 받으며 전반적으로 공격에 시달렸습니다. 크립토플리탄(Cryptoplitan)은 5월에 발생한 주요 공격 사례들을 보도했는데, 여기에는 잉크 파이낸스(Ink Finance)와 레니게이드(Renegade) 총 34만 9천 달러의 손실이 발생했고, 신디케이트 랩스(Syndicate Labs)에서는 개인 키 유출로 1,850만 개의 SYND 토큰이 손실되었습니다.

VRSC는해킹 발생 당시 약 0.75달러에 거래되었으며 시가총액은 6천만 달러를 넘었습니다.

암호화폐 뉴스를 단순히 읽는 데 그치지 마세요. 이해하세요. 저희 뉴스레터를 구독하세요. 무료입니다.