L’essentiel : le 18 mai 2026 aux premières heures UTC, le bridge Verus-Ethereum a été drainé pour environ 11,58 millions de dollars. L’attaquant a réussi à libérer 1 625 ETH, 103,6 tBTC et 147 659 USDC côté Ethereum sans déposer la contrepartie côté Verus. Le tout a été swappé en environ 5 402 ETH via Uniswap. La cause n’est pas un bug Solidity classique mais un validation gap dans la fonction checkCCEValues qui ne vérifiait pas que le montant d’entrée côté Verus correspondait au paiement côté Ethereum. La firme de sécurité Blockaid a flaggé l’attaque en temps réel.
Le hack du bridge Verus-Ethereum confirme un pattern qui domine 2026 : ce ne sont plus les bugs Solidity classiques qui font tomber les protocoles, mais les failles d’architecture cross-chain. Echo Protocol la veille, Kelp DAO en avril, et maintenant Verus. Voici l’anatomie détaillée de cet exploit et ce qu’il révèle des risques bridge.
Que s’est-il passé sur le bridge Verus-Ethereum le 18 mai 2026 ?
Verus est une blockchain Layer 1 indépendante avec un pont vers Ethereum qui permet de transférer de la valeur entre les deux réseaux. L’opération normale est simple : l’utilisateur dépose des tokens côté Verus, le bridge vérifie le dépôt, puis libère l’équivalent côté Ethereum (ETH, tBTC, USDC). C’est cette chaîne de vérification qui a cédé.
Selon Yahoo Finance, l’attaque a commencé dans les premières heures UTC du 18 mai 2026. La firme de cybersécurité blockchain Blockaid a détecté l’exploit en direct et a alerté la communauté. À ce stade, les fonds étaient déjà partiellement drainés et la fonction de pause d’urgence n’avait pas encore été activée.
L’attaquant a opéré depuis le wallet 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777. Selon PeckShield, ce wallet avait été financé 14 heures avant l’attaque par 1 ETH via Tornado Cash, signe d’une préparation soigneuse.
Quels actifs ont été volés et combien valent-ils ?
L’attaquant a extrait du contrat bridge Ethereum trois types d’actifs distincts, qu’il a ensuite consolidés en ETH pour faciliter la sortie et le blanchiment.
| Actif extrait | Quantité | Valeur estimée (18 mai 2026) |
|---|---|---|
| ETH (natif) | 1 625 ETH | ~3,4 M$ |
| tBTC (threshold Bitcoin) | 103,6 tBTC | ~8,0 M$ |
| USDC | 147 659 USDC | 147 659 $ |
| Total drainé | — | ~11,58 M$ |
| Converti en ETH (Uniswap) | 5 402 ETH | ~11,4-11,58 M$ |
Le swap massif via Uniswap a fait bouger le prix de l’ETH dans le pool concerné de quelques pourcents, mais la liquidité totale était suffisante pour absorber le mouvement sans perte significative pour l’attaquant.
Cette stratégie de conversion immédiate en ETH est devenue standard chez les attaquants sophistiqués depuis 2024. L’ETH est plus liquide que tBTC, plus simple à mixer via Tornado Cash, et moins traçable que les stablecoins qui peuvent être gelés par leurs émetteurs (USDC notamment).
Quelle est la faille exacte exploitée chez Verus ?
Selon Halborn et Metaverse Post, la cause racine est un défaut de logique de validation dans la fonction checkCCEValues du contrat bridge. Cette fonction est censée vérifier que le montant déposé côté Verus correspond bien au montant que le bridge va libérer côté Ethereum.
Le code n’effectuait pas cette comparaison correctement. L’attaquant pouvait donc soumettre une preuve de dépôt arbitraire et recevoir des fonds Ethereum sans contrepartie réelle côté Verus. Ce n’est pas un bug technique caché : c’est une vérification métier manquante.
La société Verus a confirmé que la correction est techniquement simple : ajout du contrôle source-amount manquant dans checkCCEValues, audit complémentaire, et redéploiement. Le bridge a été mis en pause immédiatement après détection.
Ce type de faille est emblématique de ce que les développeurs appellent un business logic bug, par opposition aux bugs techniques (reentrancy, overflow, oracle manipulation). Les outils d’analyse statique et les audits automatisés détectent mal ces failles parce qu’elles dépendent de la sémantique du protocole.
Comment ce hack se compare-t-il aux autres exploits bridge de 2026 ?
Verus s’inscrit dans une série troublante d’exploits bridge depuis 2024. Voici la comparaison :
| Protocole | Date | Montant | Cause |
|---|---|---|---|
| Wormhole | Février 2022 | 320 M$ | Signature verification bug |
| Ronin | Mars 2022 | 625 M$ | Compromission validators |
| Nomad | Août 2022 | 190 M$ | Replay attack |
| Multichain | Juillet 2023 | 130 M$ | Compromission clés |
| Kelp DAO / LayerZero | Avril 2026 | 292 M$ | DVN 1-sur-1 + DDoS |
| Echo Protocol bridge | Mai 2026 | ~816 k$ effectif | Clé admin compromise |
| Verus-Ethereum | 18 mai 2026 | 11,58 M$ | Validation gap |
Le total cumulé des exploits bridge dépasse 1,8 milliard de dollars sur les quatre dernières années. C’est l’une des surfaces d’attaque les plus rentables du Web3.
Pourquoi les bridges restent-ils la cible préférée des attaquants ?
Trois caractéristiques structurelles expliquent leur vulnérabilité chronique :
D’abord, la concentration de valeur. Un bridge cross-chain centralise par construction la liquidité de deux ou plusieurs blockchains. C’est mécaniquement un trésor à plusieurs millions, parfois plusieurs milliards de dollars, en un seul point.
Ensuite, la complexité du modèle de confiance. Un bridge doit faire des affirmations sur l’état d’une autre blockchain (« cette transaction a bien eu lieu côté Verus ») sans pouvoir lire directement cette blockchain. Cela exige des oracles, validators, prouveurs ZK ou messageurs cross-chain, chacun ajoutant un point de défaillance.
Enfin, les business logic bugs. Contrairement aux bugs Solidity techniques détectables par audit automatique, les failles de logique métier comme celle de Verus dépendent de la sémantique du protocole. Elles passent souvent inaperçues même après plusieurs audits.
Pour une compréhension plus profonde des failles bridge en 2026 et des bonnes pratiques utilisateur, lisez nos 5 leçons opérationnelles tirées des hacks Drift et Kelp.
Quelle réponse de l’équipe Verus et comment se protéger ?
L’équipe Verus a réagi avec une discipline opérationnelle correcte mais pas exemplaire :
- Pause du bridge activée après alerte Blockaid (latence : quelques dizaines de minutes).
- Communication officielle dans les 12 heures suivant l’exploit.
- Annonce du correctif : mise à jour de
checkCCEValuesavec validation source-amount, audit complémentaire avant redéploiement. - Suivi des fonds volés : coopération avec Chainalysis et TRM Labs pour tracer les flux post-Tornado Cash.
À l’heure de publication, les fonds restent introuvables après leur passage par Tornado Cash. La probabilité de récupération est faible. Les utilisateurs qui détenaient de la liquidité dans le pool bridge ont essuyé des pertes proportionnelles.
Pour les utilisateurs DeFi soucieux de réduire leur exposition aux bridges, trois pratiques :
- Privilégier les bridges canoniques L1-L2 (Optimism, Arbitrum bridges officiels) plutôt que les bridges tiers généralistes.
- Limiter le temps de stockage sur un bridge : transférer puis quitter rapidement, ne pas laisser des fonds dormir dans un pool bridge.
- Surveiller les alertes Blockaid, Cyvers et Peckshield sur X pour intervenir dans la fenêtre critique.
Pour aller plus loin sur la sécurité hardware côté utilisateur, lisez notre analyse des hardware wallets 2026 face aux drainers et au clear-signing.
FAQ Verus-Ethereum Bridge hack 18 mai 2026
Combien d’argent a été volé sur le bridge Verus-Ethereum ?
Environ 11,58 millions de dollars. L’attaquant a drainé 1 625 ETH, 103,6 tBTC et 147 659 USDC du contrat bridge Ethereum, puis swappé l’ensemble pour 5 402 ETH via Uniswap.
Quelle est la cause exacte du hack Verus ?
Un défaut de validation cross-chain dans la fonction checkCCEValues. Le contrat ne vérifiait pas correctement que le montant d’entrée côté Verus correspondait au montant libéré côté Ethereum. C’est un bug de logique métier, pas un bug Solidity technique classique.
Qui a détecté l’attaque en premier ?
La firme de cybersécurité Blockaid a flaggé l’exploit en direct dans les premières heures UTC du 18 mai 2026, alerte ensuite reprise par PeckShield et les principaux comptes de sécurité crypto sur X.
Les fonds peuvent-ils être récupérés ?
Très peu probable. L’attaquant a immédiatement consolidé en ETH via Uniswap, puis fait passer une partie par Tornado Cash. À l’heure actuelle, Chainalysis et TRM Labs travaillent sur le tracking, mais les chances de récupération sont historiquement très faibles dans ce type de scénario.
Faut-il fuir tous les bridges après cet incident ?
Non, mais limiter son exposition reste prudent. Privilégier les bridges canoniques L1-L2 (Arbitrum, Optimism, Polygon zkEVM) plutôt que les bridges tiers, et minimiser le temps passé avec des fonds bloqués dans un pool bridge.
Quel correctif Verus a-t-il déployé ?
L’équipe a confirmé une correction du code checkCCEValues, ajoutant la validation source-amount manquante. Le bridge a été mis en pause après détection et restera fermé jusqu’à audit complémentaire et redéploiement contrôlé.
Conclusion
Le hack Verus-Ethereum du 18 mai 2026 ajoute 11,58 millions de dollars au total cumulé des exploits bridge depuis 2022, qui dépasse maintenant 1,8 milliard de dollars. La cause — un check de cohérence manquant — illustre la classe de failles que les audits classiques détectent le moins bien : les business logic bugs.
Pour les utilisateurs, le message reste cohérent avec les leçons d’avril et de mai : limiter le temps passé sur les bridges tiers, suivre les alertes Blockaid et PeckShield, et ne jamais oublier qu’un wrapped asset (tBTC, wETH cross-chain, rsETH) ajoute toujours un risque structurel par rapport à l’actif natif. La sécurité bridge 2026 reste un chantier permanent, pas un problème résolu.
Sources : Yahoo Finance — Verus Bridge $11.58M drained, Halborn — Verus hack post-mortem, AMBCrypto — DeFi trust erosion, Metaverse Post — Validation gap, Coinfomania — Swap to ETH.
