- Heute Morgen wurde die Verus-Ethereum Bridge gehackt und 11,5 Millionen Dollar exploited.
- Es ist der siebte bestätigte Bridge-Exploit in 2026, Bridges haben dieses Jahr bereits über 750 Millionen Dollar produziert.
Heute Morgen hat ein unbekannter Angreifer die Verus-Ethereum-Bridge exploited und dabei rund 11,5 Millionen Dollar erbeutet. Laut On-Chain-Daten auf Arkham Intelligence zog der Angreifer zunächst 103,568 TBTC im Wert von knapp 8 Millionen Dollar sowie 147.659 USDC aus der Bridge.
Beides wurde anschließend über Uniswap V2 Dutch Order Reaktoren in insgesamt 5.402 ETH getauscht, was zum Zeitpunkt des Angriffs einem Wert von rund 11,5 Millionen Dollar entsprach. Die gestohlenen ETH wurden danach in kleinere Tranchen aufgeteilt und an verschiedene Adressen weitertransferiert. Ein offizielles Statement von Verus steht noch aus.
Die Verus-Ethereum Bridge ist non-custodial und basiert auf kryptografischen Beweisen. Alle 10 Blöcke erstellen Validatoren Notarisierungen für beide Netzwerke bevor Transaktionen ausgeführt werden. Verus hatte diese Mechanismen beim Launch explizit als Schutz gegen genau diese Art von Angriffen vermarktet.
Wie der Angreifer sie heute umgangen hat, ist noch nicht bekannt. Was bekannt ist: Die Bridge hielt zum Zeitpunkt des Angriffs deutlich mehr Assets als die gestohlenen 11,5 Millionen Dollar. Ob weitere Mittel gefährdet sind, hat Verus bisher nicht kommuniziert.
Verus-Ethereum Bridge(@VerusCoin) appears to have been exploited, with ~$11.5M stolen.
The exploiter has already swapped all the funds into 5,402 $ETH($11.5M).https://t.co/gGyYCjWbnV pic.twitter.com/qO5pQ3mSIB
— Lookonchain (@lookonchain) May 18, 2026
2026 ist das schlimmste Jahr für Bridge-Hacks seit 2022
2026 ist schon jetzt das schlimmste Jahr für Bridge-Exploits seit 2022. DeFi-Protokolle haben in weniger als 6 Monaten über 750 Millionen Dollar verloren. Kelp DAO verlor 292 Millionen Dollar im April, nachdem Angreifer die Off-Chain-Infrastruktur von LayerZero kompromittierten und falsche Daten einspeisten, während die Smart Contracts selbst fehlerfrei liefen.
Drift Protocol verlor 285 Millionen Dollar im März nach einer sechsmonatigen Social-Engineering-Kampagne durch nordkoreanische Hacker, die sich systematisch Zugang zu Admin-Keys verschafften.
Als Kelp DAOs Bridge im April brach, verlor Aave innerhalb von Stunden 6 Milliarden Dollar TVL durch Nutzerabzüge, obwohl Aaves eigene Contracts nie kompromittiert wurden. Bridge-Exploits bleiben selten auf das betroffene Protokoll beschränkt.
Jedes Protokoll das die betroffene Bridge für Liquidität, Collateral oder Settlement nutzt, ist potenziell mitbetroffen. Im Fall von Verus sind das alle Projekte die TBTC oder andere über die Bridge gewrappte Assets als Basis nutzen.
Warum Bridges ein strukturelles Sicherheitsproblem haben
Sergej Kunz, Mitgründer von 1inch, sagte nach dem Kelp DAO Exploit im April:
„Alles was schiefgehen kann, wird schiefgehen. Du siehst Code-Schwachstellen, Zentralisierungsprobleme, Social Engineering. Meistens ist es eine Mischung aus allem.“
Seit 2022 haben Bridge-Exploits kumulativ mehr als 2,8 Milliarden Dollar gekostet, rund 40 Prozent aller gestohlenen Werte in Web3. Per März 2026 verwalteten Bridges gleichzeitig 21,94 Milliarden Dollar TVL. Je mehr Kapital in Bridges fließt, desto attraktiver ist logischerweise das Ziel.
Solange kein branchenweiter Mindeststandard für Bridge-Sicherheit existiert und Protokolle weiterhin Milliarden an einem einzigen Punkt bündeln, werden Bridge-Exploits ein wiederkehrendes Thema bleiben.
