Три эксплойта за пять дней. $23 миллиона исчезли. THORChain 15 мая, Verus Bridge 18-го, Echo Protocol 19-го. Месяц ещё не закончился.
Отчёт об инциденте безопасности
- Протокол THORChain
- Похищено $10.800.000
- Сети BTC · ETH · BNB · Base
- Дата 15 мая 2026, 09:45 UTC
- RUNE -15% за несколько минут
- Вектор атаки Уязвимость в GG20 TSS. Вредоносный узел накапливал фрагменты криптографического ключа во время обычных церемоний подписания, со временем восстановив полный приватный ключ хранилища Asgard и подписывая несанкционированные транзакции.
- Реакция протокола Команда «make pause» на блоке 26190429. Торговля, свопы, действия LP и подписание приостановлены. Средства пользователей не пострадали. Подключены THORSec, Chainalysis и правоохранительные органы.
Источник: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15-16 мая 2026
Источник: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15-16 мая 2026
15 мая в 09:45 UTC ZachXBT опубликовал предупреждение в Telegram: аномальные потоки из хранилищ Asgard компании THORChain, ведущего децентрализованного кросс-чейн обменника. Первоначальная оценка по данным ZachXBT составляла $7,4 млн. Всё встало. Через два часа сумма достигла $10,8 млн: атака одновременно затронула Bitcoin, Ethereum, BNB Chain и Base, а нативный токен RUNE рухнул на 15% с $0,58 до примерно $0,50 за несколько минут. Механизм автоматической паузы сработал, ограничив ущерб одним из шести активных хранилищ Asgard. Средства пользователей остались в безопасности.
Вектор атаки оказался изощрённым. Валидатор работал честно несколько дней, накапливая фрагменты криптографического материала во время стандартных церемоний подписания протокола GG20 TSS. Собрав достаточно фрагментов, злоумышленник восстановил полный приватный ключ хранилища Asgard и начал подписывать исходящие транзакции так, будто они санкционированы всей сетью. Вредоносный узел, идентифицированный как thor16ucjv3v695mq283me7esh0wdhajjalengcn84q, вошёл в активный набор за несколько дней до атаки. Классическое планирование.
Chainalysis восстановила недели подготовки: операции через Monero, Hyperliquid и Arbitrum, завершившиеся переводом 8 ETH на атакующий кошелёк ровно за 43 минуты до дренажа. Почерк уже знакомый: Kelp DAO был опустошён на $292 млн в апреле после аналогичной по длительности подготовки. THORChain, по иронии судьбы, сам использовался как инструмент отмывания в той операции: группа Lazarus прогнала около $175 млн похищенных ETH через протокол за 36 часов. Кризис Aave после Kelp закрылся лишь 18 мая, в тот же день, что и второй из атак этой недели.
Отчёт об инциденте безопасности
- Протокол Verus-Ethereum Bridge
- Похищено $11.580.000
- Выведенные активы 103,6 tBTC · 1.625 ETH · 147K USDC
- Дата 18 мая 2026
- Кошелёк атакующего 0x65Cb…C25F9
- Вектор атаки Технический вектор на стадии анализа по состоянию на 19 мая 2026. Кошелёк был предварительно пополнен 1 ETH через Tornado Cash примерно за 14 часов до атаки. Средства конвертированы в 5.402,4 ETH и остаются на кошельке.
- Реакция протокола Оповещение в реальном времени от Blockaid. Полного технического заявления от команды Verus на момент публикации нет.
Источник: Blockaid, PeckShield · 18 мая 2026
Источник: Blockaid, PeckShield · 18 мая 2026
Три дня после THORChain. При этом Никакой паузы. Blockaid зафиксировал эксплойт Verus-Ethereum Bridge прямо в процессе: атакующий уже вывел 103,6 tBTC, 1.625 ETH и 147 000 USDC до того, как кто-либо успел вмешаться, конвертировав всё в 5.402,4 ETH. Кошелёк назначения, 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9, оставался активным 19 мая. Предварительное пополнение через Tornado Cash за 14 часов говорит само за себя: операция спланированная, не оппортунистическая. Схема уже задокументирована на примере Drift Protocol в апреле, где атакующие кошельки были подготовлены за недели теми же инструментами. Конкретный технический вектор Verus всё ещё изучается.
Отчёт об инциденте безопасности
- Протокол Echo Protocol (Monad)
- Фактически похищено $816.000
- Выпущено eBTC (номинально) 1.000 eBTC ($76,7M)
- Дата 18-19 мая 2026, 22:55 UTC
- ETH в Tornado Cash 384 ETH ($821.700)
- Вектор атаки Скомпрометированный admin-ключ: одиночный EOA без multisig, без timelock, без лимита эмиссии. Атакующий выпустил 1.000 eBTC, использовал 45 как залог на Curvance, занял 11,29 WBTC и отправил 384 ETH в Tornado Cash.
- Реакция протокола Echo восстановил admin-ключи и сжёг оставшиеся 955 eBTC. Кросс-чейн операции приостановлены. Curvance заморозил рынок eBTC. Сооснователь Monad Кионэ Хон заявил: сеть не скомпрометирована.
Источник: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD) · 18-19 мая 2026
Источник: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD в X) · 18-19 мая 2026
Вечером 18 мая on-chain аналитик dcfgod опубликовал пост на X. Кто-то выпустил 1.000 eBTC на Echo Protocol в сети Monad буквально из воздуха. Номинальная стоимость: $76,7 млн. При этом Реальный ущерб: $816 000. Разрыв между этими цифрами объясняет всё: у атакующего были admin-ключи с неограниченными правами эмиссии, никакой защиты multisig и никакого timelock. Он использовал 45 eBTC как залог на Curvance, снял 11,29 WBTC, перевёл средства на Ethereum и отправил 384 ETH в Tornado Cash. Всё за несколько часов. Оставшиеся 955 eBTC лежали в кошельке атакующего мёртвым грузом: ликвидности в сети Monad не хватало, чтобы конвертировать их в реальную ценность. Echo сжёг их. Сооснователь Monad Кионэ Хон подтвердил, что сама сеть не пострадала.
Основатель SlowMist Ю Сянь указал на суть проблемы: единственная точка контроля с абсолютными правами эмиссии является уязвимостью по замыслу, а не изолированной ошибкой. Паттерн идентичен десяткам предыдущих эксплойтов на кросс-чейн мостах. О том, как аналогичные архитектуры создают бреши в секторе AI-crypto, наш материал про LLM-роутеры и безопасность кошельков описывает тот же паттерн на другом векторе.
Ключевые данные
- THORChain: выведено (15 мая) $10.800.000
- Verus Bridge: выведено (18 мая) $11.580.000
- Echo Protocol: реальный ущерб (19 мая) $816.000
- Echo Protocol: выпущено eBTC (номинально) $76.700.000 (неликвидные)
- Итого по 3 эксплойтам (5 дней) $23.196.000
- DeFi-эксплойты в мае 2026 (всего) 14 (источник: DefiLlama)
Источник: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15-19 мая 2026
Источник: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15-19 мая 2026
Как хакеры крадут криптовалюту через DeFi-мосты?
Три атаки этой недели имеют разные технические векторы, но общую структуру. Мост является точкой входа не потому, что он обязательно самый слабый компонент, а потому что он концентрирует максимальную стоимость в транзите между разными сетями с меньшей избыточностью, чем позволяют себе основные протоколы.
В случае THORChain атакующий воспользовался криптографической уязвимостью в GG20 TSS: он не украл ключ, а восстановил его по частям во время легитимных сетевых операций. Имея собранный ключ, злоумышленник подписывал транзакции как настоящий валидатор. Никаких предупреждений не поступало, пока on-chain движения не стали очевидны.
По Verus Bridge вектор всё ещё изучается, но предварительное пополнение через Tornado Cash за 14 часов указывает на тщательно спланированную операцию, а не случайную. Echo Protocol пал не из-за криптографической ошибки: незащищённый admin-ключ без ограничений эмиссии был единственным барьером между протоколом и любым, кто получит к нему доступ.
Механизм усиления ущерба при этом везде схож. Синтетические или wrapped-токены, выпущенные мостом, принимаются как залог в смежных lending-протоколах. Создаётся ценность из воздуха, затем заимствуется реальная ценность, и атакующий уходит прежде, чем системы успевают среагировать. Этот паттерн уничтожил мост Kelp DAO на $292 млн в апреле. Раньше, со схожей динамикой, пострадал Drift Protocol на $285 млн. Компонуемость DeFi, его главное преимущество. В этих сценариях она становится и наиболее эффективным инструментом разрушения.
По данным DefiLlama, в мае 2026 уже зафиксировано 14 инцидентов безопасности в DeFi-протоколах, а 19-е число ещё не завершилось. Апрель закрылся с суммарными потерями $651 млн, причём Kelp и Drift вместе обеспечили 91% ущерба. Сейчас внимание сосредоточено на двух конкретных моментах. Первый: атрибуция эксплойта THORChain, и tRM Labs пока не назначила ответственного.
Если причастность группы Lazarus подтвердится, как это уже было задокументировано по Kelp и Drift, то северокорейские потери от взломов в 2026 году превысят любой предыдущий год, притом что ещё четыре месяца впереди. Второй: голосование сообщества THORChain по компенсационным мерам, ожидаемое между 22 и 23 мая, включая вопросы слэшинга бондов скомпрометированного узла и покрытия через собственную ликвидность протокола. RUNE уже потерял 15% за несколько часов.
То, что сообщество решит в ближайшие дни, станет реальным тестом способности DeFi выстраивать правила без внешнего давления регуляторов. Российскоязычным пользователям, работающим с децентрализованными протоколами в условиях санкционных ограничений, особенно важно понимать риски кросс-чейн мостов: именно эти инструменты остаются основным каналом перемещения активов между сетями. Все обновления по майским эксплойтам собраны в разделе Hack на SpazioCrypto.
