Verus-Überbrückungsbrücke über Ethereum wird angegriffen, DeFi-Verluste im Mai brechen 20 Millionen US-Dollar

Das Blockchain-Sicherheitsunternehmen Blockaid hat am 18. Mai überwacht, dass der Verus-Polygon-Kassetüren-Kreuzketten-Brücken-Transfer derzeit angegriffen wird, und auf X gewarnt; PeckShield bestätigte, dass der Angriff zu einem Verlust von rund 11,58 Millionen US-Dollar geführt hat. Laut DeFiLlama-Daten kam es im Mai zu Angriffen auf 12 DeFi-Protokolle, und der kumulierte Verlust im Mai hat bereits 20 Millionen US-Dollar überstiegen.

Bestätigte Angriffsdetails: gestohlene Vermögenswerte und On-Chain-Tracking

（Quelle：Etherscan）

PeckShield hat folgende Details zu den gestohlenen Vermögenswerten offengelegt:

· 103,6 tBTC

· 1.625 ETH

· 147.000 USDC

Die gestohlenen Vermögenswerte wurden anschließend in 5.402,4 ETH umgetauscht (ca. 11,4 Millionen US-Dollar) und verbleiben derzeit noch in der Angreifer-Wallet-Adresse: 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.

Mittelquelle (bestätigt): Der Angreifer hat etwa 14 Stunden vor dem Angriff über den Tornado Cash-Mixing-Dienst 1 ETH als Startkapital eingezahlt, um die Mittelquelle zu verschleiern.

DeFi-Sicherheitsereignis-Hintergrund: Mai-Kaskaden und Jahresdaten

15. Mai 2026 (vor 3 Tagen)： THORChain-Tresor wurde kompromittiert, über 10 Millionen US-Dollar an Protokollmitteln wurden gestohlen; THORChain erklärte, dass die Kontostände der Nutzer nicht betroffen seien, die Untersuchung laufe noch.

Mai 2026 (vor Verus)： DeFiLlama bestätigte, dass bereits 12 DeFi-Protokolle angegriffen wurden; der kumulierte Verlust im Mai überstieg 20 Millionen US-Dollar.

April 2026： 12 Sicherheitsvorfälle führten zu einem Verlust von über 606 Millionen US-Dollar; bei der KelpDAO-Brückenlücke lag der Einmalverlust bei 292 Millionen US-Dollar, dem größten Einzelangriff seit Beginn von 2026.

Häufige Fragen

Warum hat der Angreifer die initiale ETH über Tornado Cash aufgeladen?

Tornado Cash ist ein Ethereum-Mixing-Dienst auf Basis von Zero-Knowledge-Proofs, der die On-Chain-Quelle der Gelder kappen kann, wodurch die Nachverfolgung der Identität des Angreifers deutlich schwieriger wird. Das Aufladen mit einer kleinen Menge ETH (1 ETH) ist vor Angriffen auf Cross-Chain-Brücken ein gängiger Vorbereitungsschritt, um die Gas-Gebühren für die nachfolgenden Operationen zu bezahlen und gleichzeitig die Herkunft der Gelder zu verwirren.

Ist die gestohlene 5.402,4 ETH derzeit bereits transferiert?

Laut dem Bericht verbleiben die gestohlenen Vermögenswerte derzeit in der Angreifer-Wallet 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 und wurden noch nicht transferiert. Der Verus-Projektseite liegen bis zum Zeitpunkt des Berichts noch keine offiziellen Stellungnahmen vor; ob Gelder zurückgeholt werden können, hängt von der weiteren On-Chain-Nachverfolgung und möglichen behördlichen Eingriffen ab.

Wie ist die DeFi-Sicherheitslage im Mai im Vergleich zu April?

Bis zum Verus-Vorfall im Mai beläuft sich der kumulierte Verlust auf über 20 Millionen US-Dollar (12 Vorfälle). Im Vergleich dazu erreichten die Gesamtschäden der 12 Ereignisse im April 606 Millionen US-Dollar (inklusive der 292 Millionen US-Dollar von KelpDAO); das Ausmaß im April war damit deutlich größer als das aktuelle Niveau im Mai, doch das Muster der Kaskadenangriffe im Mai hält weiterhin an.