แฮกเกอร์ระบายทรัพย์สินประมาณ 11.58 ล้านดอลลาร์จาก Verus-Ethereum Bridge ในการทำธุรกรรมครั้งเดียวเมื่อวันที่ 17 พฤษภาคม 2026 โดยกำหนดเป้าหมายไปที่โครงการโครงสร้างพื้นฐานแบบ cross-chain ที่ทำการตลาดอย่างชัดเจนว่าตนเองปลอดภัยจากการใช้ประโยชน์จากสัญญาอัจฉริยะที่เพิ่งเข้ามาทำลายมัน
ช่องโหว่นี้ถูกตั้งค่าสถานะแบบเรียลไทม์โดยบริษัทรักษาความปลอดภัยบล็อคเชน Blockaid โดยมีรายละเอียดเพิ่มเติมในภายหลังโดยบัญชีข่าวกรองออนไลน์ @coinxtreme_en บน X
ตามที่ โพสต์Drainer Pockets — 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 — ได้รับประมาณ 1,625 ETH มูลค่าประมาณ 3.43 ล้านดอลลาร์, 103.57 tBTC มูลค่าประมาณ 7.96 ล้านดอลลาร์ และ 147,000 USDC ในการโอนเงินออกครั้งเดียว ทรัพย์สินที่ถูกขโมยส่วนใหญ่ถูกแปลงเป็น ETH ผ่านทาง Uniswap ตามโพสต์ X
การตลาดที่ทำให้การโจมตี Ethereum แย่ลง
การโจมตีลงสู่พื้นด้วยแรงพิเศษเมื่อพิจารณาจากวิธีที่ Verus วางตำแหน่งสะพาน หน้าแรกของโครงการมีภาษาที่ระบุว่า Bridge นั้น “ได้รับการตรวจสอบตามกฎของโปรโตคอล ไม่ใช่รหัสที่กำหนดเอง” ซึ่งเป็นการดึงดูดโดยตรงไปยังผู้ใช้ที่เหนื่อยล้าจากช่องโหว่ของสัญญาอัจฉริยะ ซึ่งกำหนดช่องโหว่ที่สร้างความเสียหายที่สุดของ DeFi
สถาปัตยกรรม Verus อาศัยการพิสูจน์การเข้ารหัส พยานทนายความ และการตรวจสอบความถูกต้องระดับโปรโตคอล มากกว่าตรรกะของสัญญาแบบกำหนดเองที่ผู้โจมตีได้กำหนดเป้าหมายซ้ำแล้วซ้ำอีกในบริดจ์อื่น ๆ ตามโพสต์ @coinxtreme_en ที่น่าประชดประชันดังที่โพสต์กรอบก็คือ การตลาดแบบ “ไม่ใช้โค้ดเพื่อใช้ประโยชน์” กลายเป็นความรับผิดที่สร้างความเสียหายมากที่สุดของสะพานเมื่อการใช้ประโยชน์เกิดขึ้นจริง
ไทม์ไลน์ที่น่าสงสัย
ลำดับเหตุการณ์ใน 48 ชั่วโมงก่อนการโจมตีทำให้เกิดคำถามที่โพสต์อธิบายว่ามีกลิ่นเหมือนการเล่นแบบมีเป้าหมายและซับซ้อน มากกว่าการฉวยโอกาส สองวันก่อนการโจมตี Verus ได้ส่งการอัปเดตฉุกเฉินที่มีป้ายกำกับเวอร์ชัน 1.2.14-2 ซึ่งทีมงานอธิบายว่าเป็นเรื่องเร่งด่วนและจำเป็น โดยอ้างถึงช่องโหว่ที่ไม่ได้ระบุ
ตามโพสต์ @coinxtreme_en กระเป๋าเงินของผู้โจมตีได้รับการสนับสนุนผ่าน Twister Money ประมาณ 11 ถึง 13 ชั่วโมงหลังจากการประกาศครั้งนั้น ซึ่งเป็นรูปแบบเวลาที่สอดคล้องกับผู้แสดงที่มีความรู้เกี่ยวกับช่องโหว่มาก่อน และใช้หน้าต่างอัปเดตฉุกเฉินเพื่อเตรียมโครงสร้างพื้นฐานการโจมตีก่อนดำเนินการ
รูปแบบนี้ไม่ใช่เรื่องใหม่สำหรับ DeFi แพตช์ฉุกเฉินที่เปิดเผยการมีอยู่ของช่องโหว่โดยไม่ต้องปิดอย่างสมบูรณ์ ในอดีตทำให้ผู้มีบทบาทที่มีความซับซ้อนมีหน้าต่างแคบๆ ในการดำเนินการก่อนที่ชุมชนในวงกว้างจะเข้าใจความเสี่ยงดังกล่าว
สะพานข้ามสายโซ่ยังคงเป็นชั้นที่มีช่องโหว่เชิงโครงสร้างมากที่สุดของการเงินแบบกระจายอำนาจ โดยรับผิดชอบต่อส่วนแบ่งการสูญเสีย DeFi ทั้งหมดอย่างไม่สมส่วนตั้งแต่ปี 2564 เหตุการณ์ Verus ตอกย้ำหลักการที่ภาคส่วนที่เพิ่งเริ่มใหม่ได้จ่ายให้กับการสูญเสียเก้าหลักซ้ำแล้วซ้ำอีก: สมมติฐานการออกแบบระดับโปรโตคอล แม้ว่าในทางทฤษฎีจะสวยงามก็ตาม ไม่สามารถทดแทนการตรวจสอบอย่างเป็นทางการ การตรวจสอบที่เป็นอิสระ และวินัยในการปฏิบัติงานเพื่อหยุดระบบชั่วคราวเมื่อมีการระบุภัยคุกคามที่น่าเชื่อถือ สะพานล้มอีก ช่องว่างระหว่าง “ออกแบบให้ไม่สามารถแฮ็กได้” และ “ไม่แฮ็กในทางปฏิบัติ” ยังคงกว้างเช่นเคย
ในขณะที่เขียนบทความนี้ ราคา Ethereum แสดงสัญญาณของการลดลงเพิ่มเติมหลังจากช่วงสุดสัปดาห์ที่ผ่อนคลาย สกุลเงินดิจิทัลลดลงประมาณ 10% ในช่วงสัปดาห์ที่ผ่านมา และประมาณ 3% ในช่วง 24 ชั่วโมงที่ผ่านมา
ETH's value information small losses, as seen on the each day chart. Supply: ETHUSD on Tradingview
ภาพหน้าปกจาก ChatGPT, แชท ETHUSD จาก Tradingview
กระบวนการบรรณาธิการ สำหรับ bitcoinist มุ่งเน้นไปที่การนำเสนอเนื้อหาที่ได้รับการวิจัยอย่างละเอียด ถูกต้อง และเป็นกลาง เรารักษามาตรฐานการจัดหาที่เข้มงวด และแต่ละหน้าได้รับการตรวจสอบอย่างเข้มงวดโดยทีมผู้เชี่ยวชาญด้านเทคโนโลยีชั้นนำและบรรณาธิการผู้ช่ำชองของเรา กระบวนการนี้ทำให้มั่นใจในความสมบูรณ์ ความเกี่ยวข้อง และคุณค่าของเนื้อหาของเราสำหรับผู้อ่านของเรา
