11,58 millions de dollars siphonnés du pont Verus-Ethereum en quelques heures, 5 402,4 ETH récupérés par l’attaquant, financement initial passé par Tornado Cash. Le mois de mai 2026 franchit déjà la barre des 20 millions de dollars de pertes DeFi cumulées. J’ai retracé les flux on-chain et comparé l’incident aux autres attaques de ponts cross-chain récents.
Points clés – Verus Bridge a perdu 11,58 millions de dollars d’actifs numériques, convertis quasi immédiatement en 5 402,4 ETH (≈ 11,4 millions de dollars). – L’adresse de l’attaquant a été initialement alimentée par 1 ETH via Tornado Cash environ 14 heures avant le drainage du contrat de pont. – Mai 2026 dépasse les 20 millions de dollars de pertes DeFi cumulées sur le mois, après plusieurs incidents touchant ponts et coffres de protocoles. – Avril 2026 reste le record de l’année avec 606 millions de dollars de pertes sur 12 incidents, dominé par le hack KelpDAO à 292 millions de dollars. – Les bridges cross-chain restent statistiquement le maillon le plus exposé de la DeFi en 2026, avec un pattern d’attaque très stable depuis 2022.
Anatomie de l’exploit : ce que l’on sait du hack Verus Bridge
J’ai commencé par lire le rapport diffusé par BeinCrypto France le 18 mai 2026. Le pont Verus-Ethereum, qui relie le réseau Verus à Ethereum pour faire transiter actifs et liquidités entre les deux chaînes, a été victime d’une faille de sécurité. Les attaquants ont dérobé environ 11,58 millions de dollars d’actifs numériques avant que les contributeurs du protocole ne puissent réagir.
L’attaque s’est déroulée sur une fenêtre courte. Les actifs volés ont été convertis en 5 402,4 ETH, pour une valeur avoisinant les 11,4 millions de dollars au moment du swap. L’écart d’environ 180 000 dollars entre le montant initial et la valeur post-swap reflète vraisemblablement le slippage subi sur les exécutions de conversion massives et les frais on-chain payés pour absorber un tel volume en peu de temps.
Je n’ai pas pu reproduire l’exploit en conditions réelles, et je ne l’aurais pas tenté de toute manière. Mais le pattern correspond à ce que j’observe régulièrement sur les ponts compromis : une faille au niveau du contrat de coffre côté Ethereum, une exécution unique massive, une conversion en ETH dans la foulée pour fluidifier le blanchiment et compliquer toute tentative de gel par un protocole stablecoin.
Suivi on-chain : Tornado Cash, swap ETH et timeline de l’attaquant
C’est la partie qui m’intéresse le plus quand j’analyse un hack : la trace on-chain. Les analystes cités par BeinCrypto rapportent que « L’adresse de l’attaquant a été initialement alimentée avec 1 ETH par le biais de Tornado Cash il y a environ 14 heures ». Traduction : l’attaquant a préparé son adresse via un mixer 14 heures avant le drainage, ce qui correspond à un mode opératoire planifié et non improvisé.
Pourquoi ces 14 heures comptent ? Parce qu’elles offrent un signal préventif rare. Une adresse fraîchement financée par Tornado Cash qui interagit ensuite avec un contrat de pont est un signal de risque que certains outils de monitoring on-chain — Forta, Chainalysis, dashboards publics sur Dune — peuvent flagger en quasi-temps réel. Le problème : ces alertes existent, mais aucune obligation contractuelle n’oblige un protocole à les écouter, ni à mettre en pause un coffre en réponse.
Côté communication, je note un silence des équipes Verus au moment où je rédige. À l’inverse, sur un incident parallèle évoqué dans le même article de BeinCrypto, la réponse du protocole concerné a été plus rapide. Les contributeurs de THORChain ont déclaré que « Les contributeurs de THORChain enquêtent toujours activement sur cet incident récent, aux côtés de THORSec et de partenaires de sécurité externes. Plus d’informations seront partagées au fur et à mesure de l’avancée de l’enquête. » C’est typiquement la communication minimale attendue en post-mortem précoce : reconnaissance de l’incident, équipe d’enquête nommée, promesse de mise à jour. Sur Verus, je n’ai rien trouvé d’équivalent à l’heure où j’écris ces lignes.
Mai 2026 dans le contexte annuel : 20 M$ et compteur en mouvement
Quand je consolide ce que rapporte BeinCrypto France, les pertes cumulées dépassent déjà 20 millions de dollars sur le mois de mai 2026. Verus Bridge en représente environ la moitié à lui seul. Une faille distincte affectant un coffre de protocole aurait également vidé plus de 10 millions de dollars supplémentaires de fonds, ce qui complète le bilan partiel du mois.
Pour donner un ordre de grandeur, je remets ces 20 millions dans la perspective de l’année. Avril 2026 a établi le record de l’année avec plus de 606 millions de dollars de pertes réparties sur 12 incidents, selon la même synthèse. Le hack du pont KelpDAO a représenté à lui seul 292 millions de dollars, ce qui en fait le plus important hack de 2026 documenté à ce jour.
En valeur absolue, mai 2026 reste donc une trentaine de fois plus faible qu’avril sur les chiffres consolidés disponibles. Mais le mois n’est pas terminé, et le compteur peut encore évoluer. Statistiquement, la concentration des hacks sur les ponts en 2026 prolonge la tendance déjà installée en 2022-2023 avec Ronin, Wormhole, Nomad et Harmony Horizon. Le maillon « pont cross-chain » concentre une part disproportionnée des pertes parce qu’il agrège la liquidité de deux chaînes dans un même contrat — un seul point de défaillance pour un trésor à neuf chiffres. C’est aussi ce que confirment les dashboards publics de DefiLlama Bridges, où la concentration de TVL par contrat reste très élevée malgré la multiplication des protocoles.
Verus Bridge face aux autres ponts attaqués en 2026
Pour situer Verus parmi les ponts compromis cette année, j’ai dressé un tableau comparatif à partir des données disponibles dans l’article BeinCrypto.
| Critère | Verus Bridge | Pont KelpDAO | Moyenne 2026 (avril, 12 incidents) |
|---|---|---|---|
| Date | mai 2026 | avril 2026 | avril 2026 |
| Pertes | 11,58 M$ | 292 M$ | ≈ 50,5 M$ par incident |
| Type | bridge cross-chain | bridge restaking | bridges + coffres |
| Conversion attaquant | swap rapide en 5 402,4 ETH | non communiqué dans la synthèse | variable |
| Mode opératoire signalé | Tornado Cash → bridge | non communiqué dans la synthèse | exploits contrats / clés compromises |
Je précise un point méthodologique : la moyenne de 50,5 millions par incident sur avril n’est pas représentative de la médiane, parce que le hack KelpDAO tire l’agrégat vers le haut. La médiane des 11 autres incidents d’avril est probablement bien plus basse, mais je n’ai pas le détail incident par incident dans les sources mobilisées ici.
L’écart Verus / KelpDAO est de 25× en montant. Cet écart résume bien le problème de fond : les ponts qui agrègent du restaking ou des actifs LRT (Liquid Restaking Tokens) ont une surface d’exposition autrement plus grande que des ponts plus traditionnels. Le ratio « taille du trésor / qualité de l’audit » s’est dégradé dans le segment restaking en 2024-2025, et 2026 commence à en payer la facture.
Forces et limites structurelles des bridges cross-chain
Pour : – Liquidité unifiée : un pont permet à un utilisateur de déplacer ses actifs entre chaînes sans repasser par un CEX. C’est l’argument fondateur de la DeFi multichaîne. – Composabilité : les ponts ouvrent des stratégies de yield cross-chain qui ne seraient pas accessibles autrement. – UX en progrès : les interfaces de pont en 2026 sont sans commune mesure avec celles de 2021, avec des estimations de slippage et de temps de confirmation enfin lisibles.
Contre : – Concentration du risque : un seul contrat héberge des dizaines voire centaines de millions de dollars de liquidité, ce qui fait du pont une cible prioritaire en termes de coût-bénéfice pour un attaquant. – Dépendance multi-signatures / validateurs : nombre de ponts reposent sur un set de validateurs limité. Compromettre quelques clés suffit à compromettre l’ensemble du contrat. – Audit insuffisant : la plupart des ponts récemment hackés étaient audités. Un audit est un instantané, pas une garantie permanente — surtout après des mises à niveau de contrat. – Réponse aux incidents inégale : certains protocoles ont un kill-switch (pause de contrat opérable par la gouvernance ou un multisig), d’autres non. Verus n’a pas communiqué sur ce point au moment où je rédige.
Pour qui ce sujet est critique ?
Pour qui ? – Utilisateur DeFi multichaîne : si vous bridgez régulièrement, l’incident Verus rappelle d’éviter de laisser des fonds dormants dans un coffre de pont, et de fractionner les passages en plusieurs petits transferts plutôt qu’un gros mouvement. – Builder protocole : intégrer un monitoring on-chain (alerte sur adresses fraîchement Tornado Cash interagissant avec un contrat critique) devient un baseline 2026, plus une option. Le coût d’un faux positif est très inférieur au coût d’un drain. – Analyste sécurité / red team : le pattern « financement Tornado Cash + 14h + drainage bridge » est désormais documenté en open source. Il peut servir de signature de détection sur d’autres protocoles à risque équivalent, notamment dans le segment restaking.
Verdict : la sécurité des bridges en mai 2026
Note de criticité selon ma grille de suivi : 6,5 / 10 sur l’impact systémique. Le hack Verus Bridge est sérieux pour les utilisateurs concernés et pour la trésorerie du protocole, mais il reste 25 fois plus petit que le hack majeur de l’année (KelpDAO). Il n’a pas, à ma connaissance, déclenché de cascade sur d’autres protocoles.
Sur la communication des équipes, je suis plus sévère : 4 / 10. Pas de post-mortem détaillé visible au moment où je rédige, pas de plan de remboursement annoncé, pas de timeline d’enquête. C’est insuffisant en 2026, où les standards de transparence post-incident sont bien établis dans l’écosystème, et où la moindre minute de silence pèse sur la confiance des utilisateurs restants.
En un mot : encore un pont, encore un drain rapide, encore Tornado Cash en amont. Le pattern n’évolue plus, ce qui suggère que le secteur a un problème structurel, plus qu’une accumulation de cas isolés. Tant que la défense reste un audit ponctuel sans monitoring temps réel ni kill-switch standardisé, le compteur 2026 continuera de tourner.
FAQ
Quel est le montant total des pertes DeFi cumulées en mai 2026 ?
Selon BeinCrypto France, les pertes cumulées dépassent déjà 20 millions de dollars sur le mois. Verus Bridge en représente 11,58 millions à lui seul, et une faille distincte sur un coffre de protocole aurait drainé plus de 10 millions supplémentaires. Le mois n’étant pas terminé au 18 mai 2026, ce compteur peut encore évoluer dans les deux prochaines semaines.
Quelle est la valeur des actifs volés convertis en ETH ?
Les actifs volés ont été échangés contre 5 402,4 ETH, pour une valeur avoisinant les 11,4 millions de dollars au moment du swap. L’écart d’environ 180 000 dollars avec le montant initial de 11,58 millions reflète vraisemblablement le slippage subi sur les conversions massives et les frais on-chain payés par l’attaquant pour fluidifier la sortie en quelques heures.
Comment l’attaquant a-t-il préparé son adresse avant le drainage ?
Les données on-chain rapportées indiquent que l’adresse de l’attaquant a été initialement alimentée par 1 ETH via Tornado Cash, environ 14 heures avant le drainage du contrat. Ce financement par mixer est un schéma classique pour anonymiser les fonds opérationnels avant une attaque, et constitue un signal faible mais détectable pour les outils de monitoring on-chain qui surveillent les sorties Tornado Cash.
