Verus 以太坊跨链桥遭攻击，5 月 DeFi 损失超 2000 万美元

区块链安全公司 Blockaid 于 5 月 18 日监测到 Verus-以太坊跨链桥正在遭受攻击，并在 X 上发出警告；PeckShield 确认此次攻击造成约 1,158 万美元损失。据 DeFiLlama 数据，5 月已有 12 个 DeFi 协议遭受攻击，5 月累计损失已超过 2,000 万美元。

已确认的攻击细节：被盗资产与链上追踪

（来源：Etherscan）

PeckShield 披露的被盗资产明细：

· 103.6 枚 tBTC

· 1,625 枚 ETH

· 147,000 枚 USDC

被盗资产随后被兑换为 5,402.4 ETH（约 1,140 万美元），目前仍保留在攻击者钱包地址：0x65Cb8b128Bf6e690761044CCECA422bb239C25F9。

资金来源（已确认）：攻击者在攻击前约 14 小时，通过 Tornado Cash 混币服务充值 1 ETH 作为初始资金，以掩盖资金来源。

DeFi 安全事件背景：5 月连环爆发与年度数据

2026 年 5 月 15 日（3 天前）： THORChain 金库遭入侵，超过 1,000 万美元协议资金被盗；THORChain 表示用户账户余额不受影响，调查仍在进行中

2026 年 5 月（Verus 前）： DeFiLlama 确认已有 12 个 DeFi 协议遭受攻击，5 月累计损失超过 2,000 万美元

2026 年 4 月： 12 起安全事件造成超过 6.06 亿美元损失，其中 KelpDAO 桥接漏洞单次损失达 2.92 亿美元，为 2026 年以来最大单次攻击

常见问题

攻击者为何通过 Tornado Cash 充值初始 ETH？

Tornado Cash 是基于零知识证明的以太坊混币服务，可切断资金的链上来源，使追踪攻击者身份更为困难。使用少量 ETH（1 枚）充值是跨链桥攻击前常见的准备步骤，用于支付后续操作的 Gas 费用，同时混淆资金起源。

被盗的 5,402.4 ETH 目前是否已转移？

据报道，被盗资产目前仍保留在攻击者钱包 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 中，尚未转移。Verus 项目方截至报道时未公布官方声明，能否追回取决于后续的链上追踪和可能的执法介入。

5 月的 DeFi 安全状况与 4 月相比如何？

5 月截至 Verus 事件，累计损失已超 2,000 万美元（12 起事件）。相比之下，4 月 12 起事件的总损失达 6.06 亿美元（含 KelpDAO 的 2.92 亿美元），4 月的规模显著高于 5 月目前的水平，但 5 月的连环攻击态势仍在持续。