Verus 以太坊跨鏈橋遭攻擊，5 月 DeFi 損失破 2000 萬美元

區塊鏈安全公司 Blockaid 於 5 月 18 日監測到 Verus-以太坊跨鏈橋正在遭受攻擊，並在 X 上發出警告；PeckShield 確認此次攻擊造成約 1,158 萬美元損失。據 DeFiLlama 數據，5 月已有 12 個 DeFi 協議遭受攻擊，5 月累計損失已超過 2,000 萬美元。

已確認的攻擊細節：被盜資產與鏈上追蹤

（來源：Etherscan）

PeckShield 披露的被盜資產明細：

· 103.6 枚 tBTC

· 1,625 枚 ETH

· 147,000 枚 USDC

被盜資產隨後被兌換為 5,402.4 ETH（約 1,140 萬美元），目前仍保留在攻擊者錢包地址：0x65Cb8b128Bf6e690761044CCECA422bb239C25F9。

資金來源（已確認）： 攻擊者在攻擊前約 14 小時，透過 Tornado Cash 混幣服務充值 1 ETH 作為初始資金，以掩蓋資金來源。

DeFi 安全事件背景：5 月連環爆發與年度數據

2026 年 5 月 15 日（3 天前）： THORChain 金庫遭入侵，超過 1,000 萬美元協議資金被盜；THORChain 表示用戶帳戶餘額不受影響，調查仍在進行中

2026 年 5 月（Verus 前）： DeFiLlama 確認已有 12 個 DeFi 協議遭受攻擊，5 月累計損失超過 2,000 萬美元

2026 年 4 月： 12 起安全事件造成超過 6.06 億美元損失，其中 KelpDAO 橋接漏洞單次損失達 2.92 億美元，為 2026 年以來最大單次攻擊

常見問題

攻擊者為何透過 Tornado Cash 充值初始 ETH？

Tornado Cash 是基於零知識證明的以太坊混幣服務，可切斷資金的鏈上來源，使追蹤攻擊者身份更為困難。使用少量 ETH（1 枚）充值是跨鏈橋攻擊前常見的準備步驟，用於支付後續操作的 Gas 費用，同時混淆資金起源。

被盜的 5,402.4 ETH 目前是否已轉移？

依據報道，被盜資產目前仍保留在攻擊者錢包 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9 中，尚未轉移。Verus 項目方截至報道時未公布官方聲明，能否追回取決於後續的鏈上追蹤和可能的執法介入。

5 月的 DeFi 安全狀況與 4 月相比如何？

5 月截至 Verus 事件，累計損失已超 2,000 萬美元（12 起事件）。相比之下，4 月 12 起事件的總損失達 6.06 億美元（含 KelpDAO 的 2.92 億美元），4 月的規模顯著高於 5 月目前的水平，但 5 月的連環攻擊態勢仍在持續。