Il 17 maggio 2026, un hacker ha sottratto circa 11,58 milioni di dollari in asset dal Verus-Ethereum Bridge con una singola transazione, prendendo di mira un progetto infrastrutturale cross-chain che si era esplicitamente pubblicizzato come immune al tipo di exploit dei contratti intelligenti che lo ha appena messo fuori uso.
La falla è stata segnalata in tempo reale dalla società di sicurezza blockchain Blockaid, e i dettagli sono stati successivamente amplificati dall'account di intelligence on-chain @coinxtreme_en su X.
Secondo quanto riportato nel post , il portafoglio utilizzato per il furto — 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 — ha ricevuto circa 1.625 ETH, per un valore di circa 3,43 milioni di dollari, 103,57 tBTC, per un valore di circa 7,96 milioni di dollari, e 147.000 USDC in un unico trasferimento in uscita. La maggior parte dei beni rubati è stata successivamente convertita in ETH tramite Uniswap, come indicato nel post di X.
Il marketing che ha peggiorato l'attacco a Ethereum
L'attacco ha avuto particolare impatto, considerando il modo in cui Verus ha posizionato il suo bridge. La homepage del progetto riportava una dicitura che affermava che il bridge era "validato dalle regole del protocollo, non da codice personalizzato", un appello diretto agli utenti stanchi delle vulnerabilità degli smart contract che hanno caratterizzato gli exploit più dannosi nel settore DeFi.
Secondo il post di @coinxtreme_en, l'architettura di Verus si basava su prove crittografiche, testimoni notarili e validazione a livello di protocollo, piuttosto che sulla logica contrattuale personalizzata che gli aggressori hanno ripetutamente preso di mira in altri bridge. L'ironia, come sottolinea il post, è che la strategia di marketing basata sullo slogan "nessun codice da sfruttare" si è rivelata la principale vulnerabilità del bridge una volta che la falla si è concretizzata.
Una cronologia sospetta
La sequenza degli eventi nelle 48 ore precedenti all'attacco solleva interrogativi, come descritto nel post, che fanno pensare a un'azione mirata e sofisticata piuttosto che a una semplice scansione opportunistica. Due giorni prima dell'attacco, Verus ha rilasciato un aggiornamento di emergenza, versione 1.2.14-2, definito dal team urgente e obbligatorio, a causa di una vulnerabilità non specificata.
Secondo il post di @coinxtreme_en, il portafoglio dell'attaccante è stato finanziato tramite Tornado Cash circa 11-13 ore dopo l'annuncio: una tempistica coerente con un malintenzionato che era a conoscenza della vulnerabilità e ha utilizzato la finestra di aggiornamento di emergenza per preparare l'infrastruttura di attacco prima dell'esecuzione.
Questo schema non è nuovo nel mondo della DeFi. Le patch di emergenza che rivelano l'esistenza di una vulnerabilità senza risolverla completamente hanno storicamente fornito agli operatori più esperti una breve finestra di tempo per agire prima che la comunità in generale si rendesse conto dell'esposizione al rischio.
I ponti cross-chain rimangono lo strato strutturalmente più vulnerabile della finanza decentralizzata, responsabili di una quota sproporzionata delle perdite totali della DeFi dal 2021. L'incidente di Verus rafforza un principio che il settore nascente ha pagato ripetutamente con perdite a nove cifre: le ipotesi di progettazione a livello di protocollo, per quanto eleganti in teoria, non possono sostituire la verifica formale, gli audit indipendenti e la disciplina operativa di sospendere i sistemi quando viene identificata una minaccia credibile. Un altro ponte è crollato. Il divario tra "inviolabile per progettazione" e "inviolabile nella pratica" rimane più ampio che mai.
Al momento in cui scriviamo, il prezzo di Ethereum mostra segnali di ulteriore ribasso dopo un fine settimana sottotono. La criptovaluta ha perso circa il 10% nell'ultima settimana e circa il 3% nelle ultime 24 ore.
Immagine di copertina tratta da ChatGPT, chat ETHUSD di Tradingview