Le bridge Verus-Ethereum a été intégralement vidé le 18 mai 2026 lors d’un exploit actif signalé par la société de sécurité Blockaid. Selon PeckShield, les pertes s’élèvent à 11,6 millions de dollars, répartis en 103,6 tBTC, 1 625 ETH et 147 000 USDC. Un nouveau coup dur pour la DeFi, qui accumule les incidents en ce mois de mai.

Comment l’attaquant a-t-il opéré ?

L’adresse de l’attaquant a été financée avec 1 ETH via Tornado Cash environ 14 heures avant le début de l’exploit, selon les données on-chain relayées par PeckShieldAlert. Cette technique de préfinancement anonyme via mixer est un classique des opérations préméditées : elle permet d’activer un portefeuille sans laisser de trace dans le registre des transactions publiques.

Une fois positionné, l’exploiteur a vidé le contrat du bridge en extrayant 103,6 tBTC, 1 625 ETH et 147 000 USDC. Les actifs volés ont ensuite été rapidement convertis en ETH natif, pour un total de 5 402,4 ETH (environ 11,4 millions de dollars au moment des faits), désormais concentrés sur l’adresse 0x65Cb…25F9, toujours identifiable on-chain.

Le choix de convertir immédiatement en ETH natif plutôt qu’en stablecoin est délibéré : l’ETH est plus difficile à geler que l’USDC, dont Circle peut bloquer les adresses à la demande. Les bridges restent l’un des vecteurs les plus exploités en DeFi, comme l’illustre la réouverture du bridge Ronin après son attaque historique de 625 M$.

Pourquoi les bridges sont-ils si vulnérables ?

Les bridges cross-chain cumulent plusieurs risques structurels. Ils doivent gérer des actifs réels sur une chaîne source tout en émettant des représentations synthétiques sur une chaîne cible, ce qui crée des surfaces d’attaque sur les deux extrémités. Moindre liquidité, code moins audité, messagerie inter-chaînes sujette à manipulation : chaque composant est un maillon faible potentiel.

L’exploit Verus s’inscrit dans une tendance persistante. Chainalysis estimait que les bridges ont représenté plus de 50 % des pertes DeFi en 2022. Depuis, des incidents répétés sur Wormhole (320 M$), Nomad (190 M$) ou encore Ronin ont montré que la problématique reste entière malgré les audits. L’architecture même d’Ethereum est régulièrement questionnée sur sa résistance aux vecteurs cross-chain.

Blockaid, qui a détecté l’attaque via son système de surveillance temps réel, a émis une alerte communautaire dès les premières minutes. Cette réactivité n’a toutefois pas permis de stopper le flux de transactions : les contrats n’intégraient visiblement pas de mécanisme de pause d’urgence, ou celui-ci n’a pas été activé à temps.

Quelles suites pour les utilisateurs touchés ?

À ce stade, aucune communication officielle de l’équipe Verus n’a été publiée concernant un éventuel plan d’indemnisation. L’adresse de l’exploiteur reste traçable, mais les fonds en ETH natif sont difficiles à saisir sans coopération d’exchanges centralisés. Si l’attaquant tente de liquider via Binance, Coinbase ou Kraken, un gel reste théoriquement possible sur identification KYC.

Les utilisateurs ayant des actifs sur le bridge doivent considérer leurs fonds comme perdus dans l’immédiat. Ce type d’exploit laisse rarement place à une récupération rapide : les précédents (Ronin, Harmony Horizon) montrent que les processus de remboursement s’étalent sur plusieurs mois, voire restent partiels. Les mécanismes de sécurité pour les actifs déposés sur les exchanges et bridges DeFi font l’objet d’un débat continu dans l’écosystème.

Questions fréquentes

Qu’est-ce que le bridge Verus-Ethereum ?

Le bridge Verus-Ethereum est un protocole permettant de transférer des actifs entre la blockchain Verus et le réseau Ethereum. Il gère des tokens enveloppés (tBTC, ETH, stablecoins). Le 18 mai 2026, un exploit a vidé ses réserves de 11,6 M$ selon Blockaid et PeckShield.

Comment l’exploiteur a-t-il effacé ses traces ?

L’attaquant a préfinancé son adresse avec 1 ETH via Tornado Cash, un mixer décentralisé, environ 14 heures avant l’attaque. Les actifs volés ont ensuite été convertis en 5 402,4 ETH natif, moins traçable que les stablecoins dont les émetteurs peuvent bloquer les adresses.

Que faire si j’avais des fonds sur le bridge Verus ?

Aucune récupération immédiate n’est possible. Conservez les preuves de vos dépôts (hash de transaction, captures d’écran). Suivez les annonces officielles de l’équipe Verus et évitez d’interagir avec tout contrat de “remboursement” non vérifié : les arnaques secondaires post-exploit sont fréquentes. Pour mieux comprendre les risques liés aux bridges, consultez notre dossier sur le sharding et la scalabilité d’Ethereum.

À retenir

L’exploit du bridge Verus-Ethereum rappelle que les ponts cross-chain restent parmi les cibles prioritaires des attaquants en DeFi. Avec 11,6 M$ dérobés en une seule opération préparée via Tornado Cash, la question des mécanismes de pause d’urgence et des audits de sécurité des bridges s’impose à nouveau. Les prochaines 48 heures seront décisives pour savoir si l’exploiteur tente de liquider les fonds via un exchange centralisé.

Et pour la France ?

Les utilisateurs français exposés au bridge Verus-Ethereum doivent savoir que toute perte en cryptomonnaies résultant d’un hack n’est pas déductible fiscalement dans le régime actuel de l’article 150 VH bis du CGI : seules les cessions imposables génèrent un événement fiscal. L’AMF n’a pas encore de compétence directe sur les protocoles DeFi non enregistrés comme PSAN.

Sources

Signal Baissier
Impact Majeur
Nous ajouter à vos sources préférées sur Google