5月17日，Verus到以太坊的跨链桥出事了。攻击者搞了一个伪造的跨链转账payload，骗过了桥的验证系统，直接从储备金里抽走了1625个ETH、14.7万USDC和103.57个tBTC，合计价值大约1158万美元。

安全公司Blockaid实时监测到了这次攻击，PeckShield随后也做了确认。按照ExVul的分析，根因出在Verus智能合约代码里缺少对来源金额的验证，修起来大概也就加十行Solidity代码的事。Blockaid强调，这不是ECDSA签名被绕过，也不是公证人密钥泄露，纯粹是验证逻辑的漏洞。

这件事不是孤立事件。今年一季度，黑客已经从34个DeFi协议里卷走了1.686亿美元，四月份又出了Drift Protocol的3.28亿美元和Kelp的2.92亿美元两起大案。跨链桥已经成了黑客最爱盯的目标——2022年的Wormhole（3.25亿美元）和Nomad（1.9亿美元）都是前车之鉴。