Мост Verus–Ethereum потерял $11,6 млн в одной транзакции, несмотря на заявления о безопасности "NoCode"

Хакер вывел около $11,58 млн из моста Verus–Ethereum одним исходящим переводом 17 мая 2026 года. Под удар попал кроссчейн‑проект, который прямо позиционировал себя как устойчивый к эксплойтам смарт‑контрактов. Инцидент в реальном времени зафиксировала компания по блокчейн‑безопасности Blockaid; позже информацию распространил ончейн‑аккаунт @coinxtreme_en в X. Что было выведено По данным блокчейн‑наблюдателей, кошелёк дренера 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 получил один перевод, состоявший из: — около 1'625 ETH (примерно $3,43 млн) — около 103,57 tBTC (примерно $7,96 млн) — 147'000 USDC (примерно $147 тыс.) Ончейн‑следы показывают, что большую часть похищенных активов быстро обменяли на ETH на Uniswap. Почему это особенно болезненно Verus продвигал свой мост как решение, основанное на "правилах протокола, а не кастомном коде". Архитектура делала ставку на криптографические доказательства, свидетелей‑нотариусов и проверку на уровне протокола вместо bespoke‑логики смарт‑контрактов, чтобы сократить поверхность атаки. Случившееся подчёркивает неудобную реальность: даже при отсутствии "пользовательского кода" мост может оставаться уязвимым на практике. Подозрительная хронология намекает на подготовку Внимание привлекла последовательность событий вокруг взлома. За два дня до кражи Verus выпустил экстренное обновление (версия 1.2.14‑2), обозначив его как срочное и обязательное, сославшись на неуточнённую уязвимость. По данным @coinxtreme_en, кошелёк атакующего получил средства через Tornado Cash примерно через 11–13 часов после этого объявления. Такой паттерн выглядит как поведение игрока, который мог знать о слабом месте заранее и использовал окно после апдейта для подготовки инфраструктуры атаки. Подобные сценарии хорошо знакомы DeFi: срочные патчи, которые сигнализируют о наличии проблемы, но не раскрывают её масштаб, иногда дают продвинутым участникам короткую возможность атаковать до полной проверки и закрепления исправлений. Что это значит для мостов и безопасности DeFi Кроссчейн‑мосты остаются самым атакуемым уровнем в децентрализованных финансах и с 2021 года обеспечивают непропорционально большую долю потерь DeFi. История с Verus подчёркивает разрыв между красивыми модельными предпосылками и операционной реальностью: даже элегантные протокольные схемы требуют формальной верификации, независимых аудитов и дисциплины в эксплуатации, включая готовность ставить на паузу или ограничивать функциональность при появлении обоснованных угроз. Реакция рынка Цена Ethereum после выходных оставалась под давлением: на момент публикации ETH снижался примерно на 10% за неделю и примерно на 3% за последние 24 часа. Иллюстрация: создано ChatGPT. График ETHUSD: TradingView.