VerusEthereum 跨鏈橋單筆被盜 1,160 萬美元　標榜"NoCode"仍告失守

【要點】Verus–Ethereum 跨鏈橋在 2026 年 5 月 17 日遭黑客以單一對外轉賬抽走約 1,158 萬美元資產，衝擊一個曾明確宣稱可免疫智能合約漏洞的跨鏈項目。事件由區塊鏈安全公司 Blockaid 即時偵測，其後再由 X 上鏈上情報帳號 @coinxtreme_en 擴散。 【資金流向】鏈上監測顯示，疑似盜款錢包 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 在一筆轉賬中收取： - 約 1,625 ETH（約 343 萬美元） - 約 103.57 tBTC（約 796 萬美元） - 147,000 USDC（約 14.7 萬美元） 鏈上軌跡顯示，大部分被盜資產隨即在 Uniswap 兌換成 ETH。 【"NoCode"賣點受考驗】Verus 一直主打跨鏈橋依賴"協議規則而非自訂代碼"，強調以加密證明、公證人見證（notary witnesses）與協議層驗證取代客製化智能合約邏輯，以縮小攻擊面。今次被盜反映，即使缺少可被直接利用的自訂合約代碼，實務上跨鏈橋仍可能出現可被攻破的環節。 【可疑時點：疑涉更高程度策劃】外界亦關注事件時間線。據資料顯示，Verus 在失竊前兩日發布緊急更新（版本 1.2.14-2），並標註為"緊急且必須"，理由是存在未具體披露的漏洞。@coinxtreme_en 指出，約在公告後 11 至 13 小時，攻擊者錢包透過 Tornado Cash 收到資金，模式與可能事先掌握漏洞資訊、趁更新窗口部署攻擊基建的行為相符。DeFi 領域過往亦屢見類似情況：緊急修補往往只透露存在漏洞而未盡披露細節，令熟練攻擊者在修復全面驗證前獲得短暫可乘之機。 【對跨鏈橋與 DeFi 安全的啟示】自 2021 年以來，跨鏈橋一直是去中心化金融最常被針對的環節，並佔整體損失中不成比例的比重。此次事件突顯設計假設與營運現實之間仍有落差：再精緻的協議模型，仍需要形式化驗證、獨立審計，以及在出現可信威脅時暫停或限制功能的營運紀律。 【市場反應】截至本文撰寫時，以太幣（Ethereum）走勢偏軟，過去一周累跌約 10%，近 24 小時下跌約 3%。 （封面圖：由 ChatGPT 生成；ETHUSD 圖表來源：TradingView。）