Il 18 maggio, un hacker ha sottratto circa 11,5 milioni di dollari dal bridge Verus-Ethereum utilizzando una prova Merkle falsificata. Questo evento si aggiunge al crescente numero di exploit cross-chain bridge, che hanno già raggiunto i 328,6 milioni di dollari solo nel 2026.
Il bridge Verus-Ethereum è l'ultimo ad essere stato vittima di un exploit in un mese che sembra aver ripreso da dove si era interrotto il mese di aprile, già ricco di record.
Come è stato hackerato Verus?
La società di sicurezza blockchain PeckShieldAlert ha riferito che l'attaccante ha estratto 103,6 tBTC, 1.625 ETH e 147.000 USDC dal contratto bridge, per poi scambiare i token rubati con 5.402,4 ETH, per un valore di circa 11,4 milioni di dollari.
Secondo PeckShieldAlert e Blockaid, che hanno entrambi segnalato l'exploit in modo indipendente, i fondi convertiti rimarrebbero in un unico portafoglio all'indirizzo 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.
Blockaid ha inoltre identificato l'account esterno dell'attaccante e pubblicato l'hash della transazione di exploit.
Come ha funzionato l'exploit?
Blockaid ha condiviso un thread su X, affermando che l'attacco apparteneva alla stessa classe di vulnerabilità alla base di due dei più noti attacchi hacker ai bridge nel mondo delle criptovalute: la violazione di Wormhole da 320 milioni di dollari e il furto di Nomad da 190 milioni di dollari, entrambi avvenuti nel 2022.
EOA dell'attaccante: 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777
Portafoglio Drainer (che detiene ancora i fondi): 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9Exploit tx: https://t.co/OqBh2alXGc
Contratto ponte: https://t.co/EN3LkDfId9— Blockaid (@blockaid_) 18 maggio 2026
Secondo Blockaid, il bridge Verus ha verificato correttamente le radici statali autenticate, comprese le firme crittograficamente valide di 8 dei 15 notai. Tuttavia, la debolezza risiedeva in ciò che il bridge non ha controllato oltre questa fase di verifica.
Cos, fondatore della società di sicurezza blockchain SlowMist e noto come @evilcos su X, ha dichiarato : "La causa dell'attacco potrebbe essere che l'attaccante abbia creato una prova Merkle falsificata, che ha superato la verifica del bridge Verus Ethereum (non open-source), consentendogli di prelevare agevolmente i fondi (ETH/tBTC/USDC)". Cos ha aggiunto che "i dettagli specifici necessitano di ulteriori verifiche".
Verus ha eseguito una patch di emergenza appena due giorni prima dell'attacco hacker.
Secondo CoinXtreme , Verus aveva rilasciato un aggiornamento di emergenza definito "urgente e obbligatorio", la versione 1.2.14-2, appena due giorni prima che si verificasse la vulnerabilità.
L'aggiornamento è stato descritto come una correzione per una vulnerabilità; tuttavia, non è ancora chiaro se il problema risolto e la vulnerabilità sfruttata siano correlati, poiché Verus non ha rilasciato dichiarazioni pubbliche sull'accaduto al momento della stesura di questo articolo.
Quest'anno i profitti derivanti dalle attività di sfruttamento dei ponti superano i 328 milioni di dollari.
Quest'anno si sono verificati otto gravi incidenti legati a ponti , l'ultimo dei quali riguarda il ponte Verus, secondo PeckShieldAlert. La perdita complessiva ammonta a circa 328,6 milioni di dollari.
Questo si aggiunge a quello che ormai viene considerato uno schema ricorrente che affligge le infrastrutture cross-chain da quando ponti come Wormhole e Nomad hanno subito gravi attacchi quattro anni fa.
I critici continuano a sottolineare che i ponti rimangono obiettivi di alto valore perché custodiscono ingenti quantità di beni bloccati e un singolo errore di verifica può sbloccare l'intero patrimonio.
Il settore DeFi è stato generalmente oggetto di attacchi, sia su larga che su piccola scala, che si sono susseguiti tra aprile e maggio. Cryptoplitan ha segnalato importanti exploit avvenuti a maggio, tra cui quelli contro Ink Finance e Renegade, che hanno causato danni per un totale di 349.000 dollari, e la compromissione della chiave privata di Syndicate Labs, che ha portato alla perdita di 18,5 milioni di token SYND.
Secondo i dati di CoinMarketCap, al momento dell'attacco VRSC , il token nativo della rete Verus, veniva scambiato a circa 0,75 dollari con una capitalizzazione di mercato di oltre 60 milioni di dollari.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter .