Verus 以太坊跨链桥被利用，损失 1160 万美元并导致节点停摆，修复方案即将推出

Verus 以太坊跨链桥攻击事件正在迅速演变为本周最受关注的加密安全事件之一，此前约 1160 万美元的资产被盗并被集中兑换成 ETH。一切始于链上安全公司在周日晚间发出的预警，随后迅速演变为一个更广泛的问题：又一个跨链系统是否在最基础的验证步骤上出现了失误。

这次损失既不轻微，也并非抽象数字。PeckShield 表示，该跨链桥损失了 103.6 tBTC、1,625 ETH 和 147,000 USDC，这种资产组合表明，在很短时间内就有相当规模的桥储备被抽走。攻击者随后将这些被盗加密资产兑换成约 5,402 ETH，将这笔赃款集中到单一主要资产中，进一步强化了对资金的控制。

与此同时，运营层面的影响也扩散到了跨链桥本身之外。Verus 在其 Discord 频道中表示，在大多数出块节点为应对攻击副作用而下线后，Verus 网络出现了停摆。开发者目前正在调查这次攻击是如何运作的，但尚未发布完整的公开事后分析报告。

Verus-Ethereum 跨链桥发生了什么

核心事实非常明确：Verus-Ethereum 跨链桥遭遇了一次持续性的攻击，约 1160 万美元的加密资产被盗。

PeckShield 的拆解分析给出了目前最清晰的公开损失情况，报告称该跨链桥损失了 103.6 tBTC、1,625 ETH 和 147,000 USDC。

这之所以重要，是因为跨链桥攻击击中了 DeFi 最敏感的环节之一：在链与链之间转移价值的基础设施。当跨链桥被攻破时，损害可能迅速扩散，同时影响流动性、用户信心以及网络运行。

在本次事件中，Verus 以太坊跨链桥攻击似乎也干扰了更广泛的 Verus 网络响应。Verus 表示，大多数出块节点主动下线，导致网络停摆，以便团队处理攻击带来的后续影响。

攻击者如何转移资金

Blockaid 表示，其在周日晚间发现了这次攻击，并将攻击者钱包标识为 0x5aBb…D5777。根据该公司的说法，被盗资产随后被转移到另一个标记为 0x65C…C25F9 的钱包中。

PeckShield 表示，攻击者随后将被盗资金兑换成约 5,402 ETH，在报道时价值约为 1140 万至 1160 万美元。对于调查人员和市场观察者而言，这一兑换行为意义重大，因为将多种被盗资产统一转换为 ETH，可以简化托管和后续转移操作。

还有一个细节立即引起了安全圈的注意。PeckShield 表示，该攻击者钱包在攻击发生前约 14 小时，通过 Tornado Cash 收到了 1 ETH 的初始资金。

这本身并不能解释攻击的具体手法，但为事件增添了一个熟悉的模式。在许多 DeFi 攻击案例中，通过隐私工具进行的小额初始资金注入，是研究人员在链上追踪的第一批线索之一。

安全公司为何认为涉及验证缺陷

早期分析将焦点从简单的私钥被盗转向了更为结构性的跨链桥弱点。

多家安全公司表示，问题很可能与跨链消息验证有关。GoPlus Security 指出，极有可能存在跨链消息验证失败、提现逻辑绕过或访问控制薄弱等问题。从实际效果看，这意味着跨链桥可能接受或处理了本应被拒绝的消息。

Blockaid 给出了更为具体的解释，称问题似乎与某个跨链桥验证函数中缺失源金额验证有关。这个细节非常关键。如果跨链桥未能正确验证与跨链消息绑定的源链金额，攻击者就可能在源链没有对应合法存入的情况下，从储备中触发转账。

ExVul 也提出了类似的理论，称攻击者使用了伪造的跨链导入载荷，并成功通过了跨链桥的验证流程。如果这一解读成立，那么这次攻击将符合 DeFi 跨链桥安全中一个常见且代价高昂的模式：跨链桥的失败并非因为签名者密钥被盗，而是因为负责检查跨链应当被认可内容的逻辑过于薄弱。

这也是Verus 以太坊跨链桥攻击受到比其损失金额本身更广泛关注的原因之一。验证缺陷直指跨链桥设计的核心。如果信任假设或验证路径过于脆弱，即便没有传统意义上的钱包被攻破，大规模跨链流动性池也可能暴露在风险之下。

跨链验证缺陷可能意味着什么

在跨链桥系统中，跨链验证是帮助确认消息或转账是否合法、并在释放资产前进行把关的步骤。如果这一步出现问题，跨链桥就可能根据本应被拒绝的数据采取行动。这也是安全团队将注意力集中在验证路径，而非简单的钱包被盗解释上的原因。

这对 DeFi 跨链桥安全意味着什么

跨链桥系统处在一个高风险的中间地带。它们需要连接不同网络、验证消息、托管储备，并仅在条件满足时释放资产。这使它们非常有用，但也异常暴露在风险之中。

Verus 案例再次强化了一个在DeFi 跨链桥安全中反复出现的教训：安全不仅仅是保护密钥，还在于确保验证函数、导入逻辑和提现控制不会被畸形或伪造数据所欺骗。

安全公司在本次事件中正是聚焦于这一类问题。多次提到的跨链验证缺陷、缺失源金额验证以及可能的访问控制薄弱，都指向一个更广泛的问题——跨链桥在接受和执行跨链指令时，其规则是否足够稳固。

对于用户和建设者而言，这部分才是最值得关注的。跨链桥在某个验证假设被打破之前，看起来都可能是“正常运转”的。

对网络的影响以及接下来会发生什么

Verus 表示，在大多数出块节点为应对攻击副作用而下线后，网络出现了停摆。这使得事件不再只是一个被局限在智能合约层面的事故，而是上升为网络层面的中断。

该项目的开发者正在调查这次攻击是如何实施的，以及接下来应采取哪些措施。目前为止，Verus 团队尚未发布完整的公开事后分析报告。

这使得下一阶段的重点集中在技术审查上：跨链桥的验证路径是如何被绕过的，疑似缺陷是否与安全公司描述的一致，以及在信心恢复之前需要进行哪些更改。目前，这次攻击再次提醒人们，在加密世界中，最薄弱的环节往往不是资产本身，而是被信任用来在链与链之间转移资产的那段代码。