สะพานเชื่อม Ethereum ของ Verus Protocol ถูกโจมตีเมื่อวันจันทร์ ผ่านข้อความปลอมสำหรับการโอนข้ามสาย ทำให้แฮ็กเกอร์สามารถโอนทรัพย์สินออกได้อย่างฉ้อโกงอย่างน้อย 11.58 ล้านดอลลาร์สหรัฐในรูปแบบคริปโท เมื่อแพลตฟอร์มความปลอดภัยบนเชน Blockaid ระบุการโจมตีที่กำลังเกิดขึ้นและบันทึกธุรกรรมที่แสดงการโอน 1,625 Ether (ETH), 147,659 USDC และ 103.57 tBTC v2 ซึ่งมีมูลค่ามากกว่า 11.5 ล้านดอลลาร์สหรัฐ เงินที่ถูกขโมยถูกแปลงเป็น Ether แล้ว โดยกระเป๋าเงินของผู้โจมตีมี 5,402 Ether คิดเป็นมูลค่าประมาณ 11.4 ล้านดอลลาร์สหรัฐตาม Etherscan บริษัทความปลอดภัยบนบล็อกเชน PeckShield ยืนยันว่าการโอนดังกล่าวเป็นการโจมตีแบบ exploit เหตุการณ์นี้สะท้อนแนวโน้มที่กว้างขึ้นของช่องโหว่ใน DeFi: แฮ็กเกอร์คริปโตขโมยเงินมากกว่า 168.6 ล้านดอลลาร์สหรัฐจากโปรโตคอลการเงินแบบกระจายอำนาจ 34 แห่งในไตรมาสแรกของ 2026 โดยเดือนเมษายนมีการโจมตีครั้งใหญ่ที่สุดของปี 2 เหตุการณ์ ได้แก่การโจมตีของ Drift Protocol มูลค่า 280 ล้านดอลลาร์สหรัฐ และการโจมตีของ Kelp มูลค่า 292 ล้านดอลลาร์สหรัฐ
รายละเอียดการโจมตี
ระบบตรวจจับของ Blockaid ระบุ exploit เมื่อวันจันทร์ และแชร์ข้อมูลธุรกรรมบน Etherscan ทรัพย์สินที่ถูกขโมยรวมถึง 1,625 ETH, 147,659 USDC และ 103.57 tBTC v2 PeckShield ยืนยันการโอนดังกล่าวว่าเป็น exploit โดยข้อมูลบนเชนแสดงว่าเงินถูกแปลงเป็น 5,402 Ether ในกระเป๋าเงินของผู้โจมตี
การวิเคราะห์เชิงเทคนิค
Blockaid ระบุว่าเหตุการณ์ของ Verus Protocol มีความคล้ายกับการโจมตีสะพาน Nomad Bridge มูลค่า 190 ล้านดอลลาร์สหรัฐ และการโจมตี Wormhole มูลค่า 325 ล้านดอลลาร์สหรัฐในปี 2022 ผู้โจมตีใช้การหลอกให้โปรโตคอลเชื่อว่า “คำสั่งการโอน” เป็นของจริง ส่งผลให้สะพานส่งเงินออกจากเงินสำรองไปยังกระเป๋าเงินของผู้โจมตี
Blockaid ระบุสาเหตุรากเหง้าว่าเป็นการขาดการตรวจสอบ validation ของจำนวนต้นทางใน checkCCEValues ซึ่งต้องใช้โค้ด Solidity ประมาณ 10 บรรทัดเพื่อแก้ไข บริษัทด้านความปลอดภัยย้ำว่า “NOT เป็นการข้าม ECDSA. NOT เป็นการถูกขโมยคีย์โนตารี. NOT เป็นบั๊กการผูก parser/hash.”
ผู้ให้บริการความปลอดภัย ExVul สรุปในทิศทางใกล้เคียงกัน โดยระบุว่าแฮ็กเกอร์ใช้ “forged cross-chain import payload” ซึ่งผ่าน “กระบวนการตรวจสอบของสะพาน” และส่งผลให้เกิด “การโอนที่แนบโดยผู้โจมตี 3 รายการไปยังกระเป๋าเงินของ drainer”
คำแนะนำด้านความปลอดภัย
ExVul แนะนำว่า “หลักฐานการนำเข้าข้ามสายต้องผูกผลกระทบการโอนปลายทางทุกอย่างเข้ากับข้อมูล payload ที่ผ่านการรับรองก่อนการประมวลผล” ผู้ให้บริการความปลอดภัยยังแนะนำให้สะพาน “เพิ่มการตรวจสอบแบบเข้มงวดระหว่าง payload กับการประมวลผล, ทำ defense in depth รอบการยืนยันหลักฐาน และหยุดการโอนออกเมื่อพบการนำเข้าที่ผิดปกติ”
เหตุการณ์ที่เกี่ยวข้อง
เหตุการณ์ exploit ของ Verus เกิดหลัง THORChain ยืนยันเมื่อวันเสาร์ว่าได้รับความเสียหายจาก exploit มูลค่า 10 ล้านดอลลาร์สหรัฐ เหตุการณ์นี้เป็นส่วนหนึ่งของรูปแบบการโจมตี DeFi ที่กำลังทวีความรุนแรงขึ้นในปี 2026
