Взломан мост Verus–Ethereum: $11,58 млн ушли через Tornado Cash, потери DeFi в мае превысили $20 млн

Май 2026 года добавил DeFi-сектору ещё одну болезненную строчку в реестр инцидентов: злоумышленники атаковали кросс-чейн мост Verus–Ethereum и вывели активы примерно на $11,58 млн. Это уже как минимум 13-й взлом за месяц, а совокупные потери за май превысили $20 млн — и это только первая половина месяца.

Как развивалась атака

О подозрительной активности вокруг моста сообщили сразу несколько команд по блокчейн-безопасности. Первой публично зафиксировала инцидент компания Blockaid, опубликовав предупреждение в X и идентифицировав адрес атакующего: 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777.

По данным ончейн-аналитиков PeckShield, схема вывода выглядела так:

• С моста выведены 103,6 tBTC, 1 625 ETH и 147 000 USDC.
• Все украденные токены были оперативно сконвертированы в 5 402,4 ETH — примерно $11,4 млн по курсу на момент атаки.
• Средства до сих пор лежат нетронутыми на адресе 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.
• Стартовый газ для операции — ровно 1 ETH — атакующий получил через миксер Tornado Cash.

«Кошелёк злоумышленника получил первый 1 ETH через Tornado Cash», — отмечается в отчёте Blockaid.

Использование Tornado Cash для финансирования атаки — почерк, который встречается практически в каждом крупном DeFi-взломе последних лет. Несмотря на санкции OFAC ещё 2022 года и многочисленные попытки регуляторов отрезать миксер от инфраструктуры, для хакеров он по-прежнему остаётся базовым инструментом «отмывания газа» на старте операции.

Почему мосты — слабейшее звено DeFi

Кросс-чейн мосты исторически — главная мишень криптопреступников. По данным Chainalysis и Rekt, на мосты приходится непропорционально большая доля украденных в DeFi средств: Ronin ($624 млн), Wormhole ($326 млн), Nomad ($190 млн), Harmony ($100 млн), Multichain ($126 млн) — это лишь верхушка списка.

Причина в самой архитектуре. Мост — это, по сути, огромный хранилищный смарт-контракт на одной сети и его «зеркало» на другой. Любая уязвимость в логике валидации, мультиподписи, мостовых оракулах или контрактах wrapped-токенов превращается в открытый сейф. У биржевого кошелька можно перевести средства в холодное хранение — у моста ликвидность по определению должна быть «горячей», иначе кросс-чейн транзакции просто не работают.

Verus в данном случае — относительно небольшой по TVL проект, и сам факт, что атакующий унёс почти $11,6 млн, говорит о том, что мост был осушён фактически полностью или близко к этому. Финальный отчёт о технической причине взлома команда пока не опубликовала.

Не первый инцидент за неделю: на очереди — THORChain

Атака на Verus случилась спустя всего три дня после инцидента на THORChain, где злоумышленники вывели более $10 млн из одного из хранилищ протокола. Тогда команда экстренно остановила торги на сети и привлекла внешних специалистов по безопасности.

«THORChain совместно с THORSec и внешними специалистами по безопасности продолжает разбирать обстоятельства инцидента. Новые подробности появятся по ходу расследования», — заявили в проекте.

Команда THORChain подчеркнула, что балансы пользователей не пострадали — убыток был покрыт за счёт казначейства и резервов протокола. Это, пожалуй, единственная хорошая новость в текущей сводке: ответственные проекты всё чаще закрывают дыры из собственных средств, не перекладывая потери на держателей.

Май идёт по тревожной траектории

По данным DeFiLlama, до инцидента с Verus в мае 2026 года уже было зафиксировано 12 успешных атак на DeFi-протоколы. С учётом нового взлома совокупный ущерб за неполные две недели мая превысил $20 млн.

Для контекста — рекордным месяцем 2026 года остаётся апрель, когда хакеры унесли из криптоиндустрии $606 млн. Если темпы мая сохранятся хотя бы на текущем уровне, месяц легко выйдет за отметку $50–70 млн потерь. А с учётом того, что крупные взломы статистически кластеризуются и часто идут «волнами» — после удачной атаки другие группы пробуют похожие векторы на смежных протоколах — риск ещё одного крупного инцидента в ближайшие дни нельзя сбрасывать со счетов.

Что делать пользователям прямо сейчас

Универсального рецепта «как не попасть под взлом моста» не существует — конечный пользователь не аудирует код. Но снизить риск реально:

• Не держать активы в мостах и кросс-чейн пулах дольше, чем нужно для конкретной операции. Мост — это транзит, а не хранилище.
• Следить за TVL и age моста. Молодые проекты с быстро растущим TVL — самая частая мишень.
• Подписываться на алерты Blockaid, PeckShield, Cyvers — первые 15–30 минут после публикации часто решают, успеете ли вы вывести средства.
• Для крупных сумм использовать проверенные централизованные обменники вместо самостоятельных бриджей: ответственность за безопасность переносится с пользователя на оператора.

2026 год уже сейчас идёт на рекорд по потерям DeFi-сектора, и базовая истина «не ваши ключи — не ваши монеты» постепенно дополняется новой: «не ваш аудит — не ваши монеты тоже». Доверие к коду — это инвестиционное решение, и оно должно приниматься так же осознанно, как покупка самого актива.