Une attaque coordonnée a permis de détourner environ 11,5 millions de dollars du pont Verus-Ethereum le 18 mai ; la société de sécurité Blockaid a établi un lien entre le portefeuille de l'attaquant et Tornado Cash. PointsKey Takeaways
Signalé en direct : un pirate convertit 11,5 millions de dollars d'actifs Verus volés en ETH après avoir utilisé Tornado Cash
ÉCRIT PAR
PARTAGER
- clés :</span></p>
- <ul>
- <li><span style="font-weight: 400;"> Le pont Verus-Ethereum a perdu 11,5 millions de dollars, l'attaquant ayant converti 103,6 tBTC, 1 625 ETH et 147 000 USDC en environ 5 402 ETH.</span></li>
- <li><span style="font-weight: 400;"> Blockaid a signalé l'exploitation de Verus en temps réel, et plusieurs sociétés de sécurité ont confirmé que le portefeuille de l'attaquant avait été alimenté via Tornado Cash.</span></li>
- <li><span style="font-weight: 400;"> Cette attaque s'inscrit dans une vague plus large, Peckshield ayant déjà recensé 8 piratages de ponts totalisant 328,6 millions de dollars au cours de la première quinzaine de mai.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
L'attaquant convertit son butin en ETH et la piste Tornado Cash se dessine
Le pont Verus-Ethereum a été vidé d'environ 11,5 millions de dollars lors d'une attaque coordonnée. Les analyses confirment que l'attaquant a extrait 103,6 tBTC, 1 625 ETH et 147 000 USDC du pont avant de convertir tous les actifs volés en environ 5 402 ETH (d'une valeur d'environ 11,4 millions de dollars) détenus à l'adresse de portefeuille 0x65Cb25F9.
La société de sécurité Blockaid a émis une alerte communautaire
identifiant l'attaque au fur et à mesure de son déroulement, confirmant par la suite que le portefeuille de l'attaquant avait initialement été alimenté avec 1 ETH via Tornado Cash, un mélangeur de cryptomonnaies décentralisé qui permet aux utilisateurs de masquer l'origine des fonds.Tornado Cash est apparu dans plusieurs filières de blanchiment post-exploitation liées à plusieurs vols de cryptomonnaies majeurs ces dernières années. Dans le cas de Verus, l'approvisionnement initial d'un seul ETH correspond à un schéma connu où les attaquants préparent un portefeuille « propre » à l'aide du mixeur avant de passer à l'action, s'assurant ainsi qu'il n'y ait aucun lien direct entre leur source de financement et l'adresse de l'attaque. Verus est une blockchain hybride de type « proof-of-work » et « proof-of-stake » axée sur la confidentialité et l'identité auto-souveraine. Son pont Ethereum permet aux utilisateurs de transférer des actifs entre les deux réseaux pour accéder à des protocoles de finance décentralisée (DeFi) et à des opportunités de rendement. La rapidité de la conversion des actifs lors de l'attaque contre Verus est remarquable, car les trois types d'actifs (à savoir le bitcoin wrapped, l'ether et les stablecoins) ont été échangés contre un seul actif (ETH) en très peu de temps, ce qui a rendu la traçabilité entre les chaînes minimale et simplifié le chemin vers toute future voie de blanchiment.
Cette faille s'inscrit dans une tendance à l'accélération des pertes liées aux ponts en 2026, Certik qualifiant la vague d'attaques d'avril de « changement majeur » dans les tactiques de cybercriminalité inter-chaînes, où les attaquants ciblent les faiblesses de vérification des ponts à une échelle sans précédent. Parallèlement, Peckshield a recensé huit exploits de ponts au cours des deux premières semaines de mai, pour un total de 328,6 millions de dollars.
L'incident Verus est le dernier en date à s'ajouter à ce décompte.
