クロスチェーンブリッジの欠陥悪用で大量資産が流出
Verus Ethereum Bridge(ヴェルース・イーサリアム・ブリッジ)で大規模な不正流出が発生し、約1,158万ドル(約18.4億円)相当の仮想通貨が盗まれた。
🚨 Verus-Ethereum Bridge Exploit: $11.58M Drained — Another "Unhackable" Bridge Falls
Just hours ago, blockchain security firm @blockaid_ flagged an active exploit on the @VerusCoin-Ethereum Bridge. Roughly $11.58M in assets drained in one transaction.
Key Details:
– Drainer… https://t.co/RuJJ6e78kT pic.twitter.com/e5SaCvaz04— Coinminutes (@coinminutes_en) May 18, 2026
Verus-Ethereumブリッジの脆弱性:1158万ドルが流出 ― またもや「ハッキング不可能」と思われていたブリッジが崩壊
わずか数時間前、ブロックチェーンセキュリティ企業blockaid_アクティブなエクスプロイトを…
攻撃者はイーサリアム(Ethereum/ETH)やスレッショルド・ビットコイン(Threshold Bitcoin/tBTC)、USDコイン(USDCoin/USDC)を取得した後、大半の資産をETHへ交換したとみられている。
ブロックチェーンセキュリティ企業Blockaid(ブロックエイド)やPeckShield(ペックシールド)によると、攻撃者はVerus-Ethereumブリッジの検証処理に存在した欠陥を悪用した。被害額は約1,158万ドルと推定されており、流出した資産は1,625ETH、103.57tBTC、147,000USDCに上る。攻撃者は盗んだ資産をUniswap(ユニスワップ)経由で約5,402ETHへ交換し、別ウォレットへ移動させたという。
🔎 Verus-Ethereum Bridge $11.58M drain – Suspected root cause
Same class as Wormhole-2022 / Nomad-2022: source ↔ destination economic-value binding gap.
What the bridge correctly verifies:
✓ Notarized Verus state root (8/15 valid notary sigs, all cryptographically sound)
✓…— Blockaid (@blockaid_) May 18, 2026
Verus-Ethereumブリッジで1,158万ドルの資金流出-原因の疑い Wormhole-2022/Nomad-2022と同じクラス:ソースと↔宛先の経済的価値のバインディングのギャップ。ブリッジが…
Blockaidの分析では、ブリッジ側は署名やマークル証明、ハッシュ整合性などの確認は行っていた一方、送金元チェーンで指定された金額と実際の支払い金額が一致しているかを検証していなかったとされる。
攻撃者はVerus側で少額のトランザクションを作成し、イーサリアム側でコミット済みの値と一致する転送データを使って処理を実行した。ブリッジ側はハッシュ整合性を確認したうえで資産を支払ったとされる。
また、GoPlusは、クロスチェーンメッセージ検証や引き出しロジックに関連する欠陥が悪用された可能性を指摘している。
緊急アップデート後に攻撃実行
今回の攻撃では、Verusが事前に緊急アップデートを公開していた点にも注目が集まっている。
Verusは攻撃の約2日前、バージョン「1.2.14-2」を緊急かつ必須のアップデートとして配信していた。ただし、具体的な脆弱性の内容については公表していなかった。
その後、攻撃者ウォレットには、攻撃前にTornado Cash経由で資金が送付されていたことが指摘されている。
Verusは2018年に開始されたプライバシー重視のブロックチェーンプロジェクトで、「Proof of Power」と呼ばれる独自コンセンサス機構を採用している。2023年にはEthereum Bridgeを導入し、Verusとイーサリアム間の資産転送機能を提供していた。
一方、Verusのネイティブトークン「VRSC」は、攻撃報道後も大きな値動きを見せていない。CoinGeckoのデータによると、記事執筆時点で約0.75ドル付近で推移している。
