ヴェルスのブリッジで不正流出発生
レイヤー1ブロックチェーン「ヴェルス(Verus)」とイーサリアム(Ethereum)を接続するヴェルス公式ブリッジで、不正流出が発生したことが明らかになった。ブロックチェーンセキュリティ企業ブロックエイド(Blockaid)が5月18日に同社Xアカウントで報告した。
ヴェルスは、2018年に立ち上げられたレイヤー1ブロックチェーンだ。同チェーンは、プライバシー機能やクロスチェーン機能を備えたブロックチェーン基盤として開発されている。ネイティブ資産は「VRSC」で、ユーザーはヴェルス上で資産の発行や送受信などを行える。
今回攻撃を受けたブリッジは、ヴェルスとイーサリアム間で資産を移転・変換するために利用されている。
ブロックエイドによると、現時点で約1,158万ドル(約18.4億円)が流出しているという。同社は、攻撃者アドレスおよび資金流出先ウォレットも公開している。
また、ブロックチェーンセキュリティ企業ペックシールド(PeckShield)は、流出資産について103.6 tBTC、1,625 ETH、147,659 USDCだったとXで報告している。同社によると、攻撃者はその後、盗まれた資産の大半を約5,402 ETHへ交換したという。
さらにペックシールドは、攻撃者アドレスに対し、約14時間前に暗号資産(仮想通貨)ミキシングサービス「トルネードキャッシュ(Tornado Cash)」経由で1 ETHが送金されていたとも報告している。
ブロックエイドは今回の事案について、2022年に発生した「ワームホール(Wormhole)」および「ノマド(Nomad)」のブリッジインシデントと同じ分類だと説明している。同社によると、今回の問題は「送信元と送信先の経済的価値の結び付け」にギャップがあった点にあるという。
ブロックエイドによると、今回のブリッジは「署名が正しいか」「正規のクロスチェーン処理か」といった暗号学的な検証自体は正常に行っていたという。一方で同社は、「送信元チェーン側で本当に十分な資産が裏付けとして存在していたか」の確認が不十分だったと指摘している。
ヴェルス公式Xアカウントは5月18日、ディスコード(Discord)上の告知を共有した。
ヴェルスチームによると、UTC時間17日23時55分頃、ヴェルスとイーサリアムを接続するブリッジが侵害され、ETH、USDC、tBTCがイーサリアムコントラクトから流出したという。一方で同チームは、現時点では他資産への影響は確認されていないとしている。
また同チームは、現在ヴェルスネットワークが停止していると説明している。これは、攻撃による副作用を検知したブロック生成ノードの大半が、設計上の対応として自動的にオフライン化したためだという。
開発者らは現在、攻撃手法や今後の対応について調査を進めているとのこと。
さらにヴェルス関係者は、資金返還と引き換えに脆弱性報奨金(バウンティ)を支払う可能性にも言及している。また同関係者は、DMなどで補償を持ちかける人物は詐欺師だとして注意喚起も行っている。
🔎 Verus-Ethereum Bridge $11.58M drain – Suspected root cause
— Blockaid (@blockaid_) May 18, 2026
Same class as Wormhole-2022 / Nomad-2022: source ↔ destination economic-value binding gap.
What the bridge correctly verifies:
✓ Notarized Verus state root (8/15 valid notary sigs, all cryptographically sound)
✓…
#PeckShieldAlert The @veruscoin Verus-Ethereum Bridge has been drained for 103.6 $tBTC, 1.625K $ETH, and 147K $USDC.
— PeckShieldAlert (@PeckShieldAlert) May 18, 2026
The exploiter swapped the stolen assets for 5,402.4 $ETH (~$11.4M), which currently sits in 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.
The attacker’s address… https://t.co/DK0CDUAcqb pic.twitter.com/NMa8abhaTH
Follow the Verus Discord for latest information. https://t.co/zxKGGLJGRY pic.twitter.com/eqGoboMqlF
— Verus – The Internet of Value (@VerusCoin) May 18, 2026
画像:PIXTA