Verus-Ethereum桥伪造Merkle证明致$1150万被盗
5月18日,Verus-Ethereum桥遭遇一次 Verus-Ethereum bridge exploit(利用事件),据称攻击者通过伪造Merkle证明将资金盗走约1150万美元。
PeckShieldAlert称,攻击者从桥合约转走103.6 tBTC、1,625 ETH以及约14.7万USDC。随后资金被换成约5,402.4 ETH,并据称集中在同一个钱包中。
Blockaid表示,Verus-Ethereum桥虽然能正确验证带公证的状态根(8/15公证节点),但在“将目的链价值与源链证明绑定”方面存在缺口。安全研究员“evilcos”也指出,伪造Merkle证明可以绕过桥端验证。Verus在事件发生前两天发布了“紧急且强制”的应急补丁(v1.2.14-2),但目前不清楚该修复是否能阻止此次被利用的具体薄弱点。
对交易者而言,这起 Verus-Ethereum bridge exploit 进一步提醒:跨链桥的验证机制仍是关键安全风险。更广泛的背景也在恶化:截至5月中旬,桥相关漏洞累计损失约328.6M(8起主要事件)。即便对现货基本面不构成直接冲击,短期也可能引发市场对跨链DeFi与相关流动性的风险厌恶情绪。
看跌
这起 Verus-Ethereum bridge exploit 揭示了可复用的桥验证失效模式:即便公证状态根能够通过验证,系统仍可能无法正确把源链证明与目的链价值绑定。这类问题通常会在短期内重新点燃市场对跨链托管与流动性安全性的担忧,从而压制跨链DeFi情绪。
被盗资产可能会被快速换仓,并不一定直接改变与此次漏洞无关代币的长期基本面。但新闻会叠加到桥类漏洞损失本就较高的现实之上(截至5月中旬约328.6M、8起主要事件)。从历史经验看,类似的跨链桥事件往往会促使交易者在确认审计与缓解措施之前,降低对相关桥、封装资产以及流动性池的配置。