Как произошёл взлом моста Verus–Ethereum на $11,6 млн и почему хакер вернул большую часть средств

Компании, занимающиеся мониторингом безопасности блокчейнов, включая Blockaid и PeckShield, заметили атаку почти сразу и предупредили пользователей не взаимодействовать с мостом до выяснения обстоятельств.

Основная уязвимость: отсутствующая проверка суммы в кроссчейн‑сообщении

Расследование показало, что проблема находилась в логике проверки кроссчейн‑операций. Обе стороны моста выполняли определённые проверки, но ни одна из них не проверяла ключевое поле — совпадает ли сумма депозита в исходной сети с суммой выплаты в Ethereum.

На практике происходило следующее:

• мост проверял структуру и подлинность сообщения;
• но не подтверждал, что выводимые средства действительно обеспечены депозитом в исходной сети.

Это позволило сформировать сообщение, которое проходило процедуру проверки, но запрашивало значительно больший вывод средств. Исследователи отмечают, что уязвимость была небольшой логической ошибкой — её можно было устранить буквально несколькими строками кода на Solidity.

Важно, что в этой атаке не использовались украденные ключи, взлом криптографии или обход подписей. Проблема была исключительно в логике проверки внутри смарт‑контракта моста.

Сколько средств было украдено и сколько удалось вернуть

Первоначально из резервов моста вывели около $11,58 млн.

Вскоре после атаки команда Verus предложила злоумышленнику сделку: вернуть большую часть средств и сохранить часть как вознаграждение за обнаруженную уязвимость.

Итог соглашения:

• 4 052,4 ETH возвращены команде Verus (примерно $8,5 млн)
• 1 350 ETH оставлены злоумышленником как bounty (около $2,8 млн)

Таким образом, проекту удалось восстановить примерно 75% украденных средств.

Почему DeFi‑проекты иногда договариваются с хакерами

Реакция Verus отражает всё более распространённую практику в сфере децентрализованных финансов. Когда украденные средства остаются отслеживаемыми в блокчейне, протоколы иногда предпочитают переговоры и вознаграждение за возврат, чем риск потерять всё.

Обычно такие переговоры происходят через:

• сообщения в блокчейне
• публичные обращения в соцсетях
• ограниченные по времени предложения о вознаграждении

Исследования безопасности показывают, что такая стратегия иногда помогает вернуть значительную часть средств. Один обзор инцидентов DeFi сообщил о более чем 200 атаках в 2024 году, из которых примерно $220 млн удалось вернуть благодаря white‑hat действиям и переговорам, что соответствует примерно 15% восстановленных средств.

Почему кроссчейн‑мосты остаются основной целью атак

Инцидент с Verus также подчёркивает фундаментальную проблему кроссчейн‑мостов.

Чтобы корректно работать, мост должен подтверждать, что событие в одном блокчейне действительно произошло, прежде чем выполнить транзакцию в другом. Любая ошибка в этой логике проверки может позволить злоумышленнику вывести активы без реального депозита.

По данным исследователей безопасности, к маю 2026 года уже произошло восемь взломов мостов, которые суммарно привели к потерям примерно $328,6 млн.

Сочетание крупных пулов ликвидности и сложной логики проверки между блокчейнами делает такие системы особенно привлекательной целью для атак.

Главный урок инцидента

Взлом Verus–Ethereum показал, что даже небольшая ошибка проверки может привести к многомиллионным потерям. Одного пропущенного условия оказалось достаточно, чтобы поддельное кроссчейн‑сообщение вызвало легитимные выплаты из контракта.

Одновременно этот случай демонстрирует прагматичный подход, который всё чаще используется в DeFi: когда атака уже произошла, переговоры и bounty‑соглашения становятся инструментом экстренного восстановления средств, пока разработчики устраняют уязвимость и восстанавливают доверие пользователей.