ホーム / Critical Brief / No. 016
Lemma Critical Brief · No. 016

Verus-Ethereum ブリッジ $11.58M 流出

Merkle Proof は有効でも、入出力額の整合が検証されなかった

Pillar 01 · 来歴証明 Bridge Config Trust Identity & Auth
事案日
2026-05-18
公開日
2026-05-31
発行
Lemma Critical Team
関連 Pack
Pack AIncident Response

TL;DR

2026 年 5 月 18 日、Verus-Ethereum クロスチェーンブリッジから約 1,158 万ドルが流出した。根本原因は、ブリッジが「Verus 側の入力額」と「Ethereum 側の払出額」の整合を必須検証していなかったこと——Ethereum 側 checkCCEValues に source-amount の検証が欠落していた。攻撃者の cross-chain import payload は $0.01 相当の VRSC 入力に対し $11.58M 相当(ETH / tBTC / USDC)の払出を構成していたが、blob の各構成要素(state root・ハッシュ・Merkle Proof)はいずれも有効だったため、Verus notary は受理・承認した。Merkle Proof が暗号的に有効であることと、value claim(入出力額)が意味的に正しいことは別問題である。本事案は Pillar 01(来歴証明)の bridge-config-trust における、cross-chain value claim の独立検証不在を露呈した直近の代表事例である。

事案概要

  • 対象: Verus Protocol の Verus-Ethereum クロスチェーンブリッジ
  • 被害額: 約 1,158 万ドル(ETH / tBTC / USDC)
  • 発生日: 2026-05-18
  • 根本原因: ブリッジの両側がそれぞれ検証を行っていたが、「source-chain の入力額が Ethereum 側の払出額と一致するか」を検証する必須ステップが存在せず、Ethereum 側 checkCCEValues 関数に当該検証が欠落していた
  • 悪用の核心: 攻撃の transfer blob は入出力の根本的な不整合($0.01 相当の VRSC 入力 vs $11.58M 相当の ETH / tBTC / USDC 払出)を持っていた。しかし blob の構成要素(state root・関連ハッシュ・Merkle Proof)はすべて有効であり、Verus notary は受理・承認した
  • 解析: Halborn が技術的な root cause 解説を公開
  • 事後: 攻撃者は交渉による bounty 取り決めの下で約 75%(4,052.4 ETH)を返還し、約 1,350 ETH(約 280 万ドル相当)を bounty として保持
  • 文脈: 2026 年のブリッジ関連 exploit は累計で 3 億ドル規模に達しているとの集計

タイムライン

  • 2026-05-18: Verus-Ethereum ブリッジから約 $11.58M が流出。攻撃者は $0.01 相当の入力に対し巨額払出を構成
  • 2026-05-18 以降: 攻撃者が窃取資産を ETH へスワップ(報道では計約 5,402 ETH 相当)。攻撃が継続中と報じられる
  • 2026-05-22 前後: 交渉による bounty 取り決めが成立。攻撃者が約 4,052.4 ETH(約 75%)を返還、約 1,350 ETH を保持
  • 2026-05(同時期): Halborn が root cause の技術解説を公開

攻撃ベクター

  1. 不整合 payload の構成: 攻撃者は cross-chain import payload を、$0.01 相当の VRSC 入力に対し $11.58M 相当の払出を指示する形で構成
  2. 有効な暗号構成要素: 当該 blob に対応する state root・ハッシュ・Merkle Proof はいずれも有効であった。暗号的検証は通過する
  3. value 整合検証の欠落: Ethereum 側 checkCCEValues に source-amount の検証が欠落していたため、入力額と払出額の不整合が捕捉されなかった
  4. notary による受理: blob の各構成要素が有効だったため、Verus notary は payload を受理・承認
  5. 巨額払出の実現: 整合検証の不在を突き、$0.01 相当の入力から $11.58M 相当の払出を実現
  6. 資産移動: 窃取資産を ETH 等へスワップ。後に交渉で約 75% を返還

構造的論点

本事案は Pillar 01(来歴証明)の bridge-config-trust カテゴリに属する。中心的な失敗 primitive は、cross-chain の value claim(「この import は source 側でこれだけの価値が拠出された」という主張)が、暗号的構成要素(Merkle Proof 等)の有効性検証とは別に、入出力額の整合として独立検証されていなかった点にある。Merkle Proof が有効であることは「この blob が state root に含まれる」ことを示すが、「払出額が source 側の入力額と一致する」ことを示さない。secondary に identity-auth を併記する。

Brief 001(KelpDAO/rsETH)・Brief 002(Stake DAO/vsdCRV)と同じ bridge-config-trust だが primitive が異なる。Brief 001 は DVN 観測層の RPC 改ざん、Brief 002 はデプロイヤー鍵による trust source の書き換え、本事案は value claim の整合検証の欠落。三者は「cross-chain で受け渡される主張が、それを独立検証する layer と切り離されたまま accept される」という構造で同根。本事案は「暗号論理的に有効 ≠ 意味的に正しい」という来歴証明カテゴリの核心を、$0.01 入力 → $11.58M 払出という極端なギャップで具体的に示している。

Detection 層では届かない構造的 gap

ブリッジの監視・異常検知や、Halborn のような事後の root cause 解析は、被害の把握・封じ込め・再発防止議論・交渉による資産回収に不可欠であり、本 Brief がその役割を否定するものではない。本事案でも事後解析と交渉により約 75% が回収された。

一方で、検出は受信側(Ethereum 側コントラクト、notary)が「どの payload を accept するか」自体を変えない。本事案では、blob の暗号構成要素がすべて有効だったため、署名・Merkle Proof の検証は通過した。欠けていたのは「value claim が意味的に正しいか(入力額と払出額が一致するか)」の検証であり、これは暗号的有効性とは別系統の検証である。異常検知が払出後に発火しても、checkCCEValues が accept した時点での払出は止まらない。規制報告・監査で「この cross-chain import は正規の value claim だったか」を立証する材料として、Merkle Proof の有効性だけでは入出力整合の独立した証跡にならない。

事前証明(pre-execution attestation)は、cross-chain の value claim を、受信側が実行前に独立検証可能な暗号証明として受け取り、「source 側で実際に拠出された価値」と「払出額」の整合を proof として検証する設計を採る。proof が「入力額と払出額が不整合」と告げれば、払出は事前に block される。Merkle Proof による包含証明(detection 的な「この blob は存在する」)と、value claim の事前証明(「この払出額は source の入力と整合する」)は代替ではなく 補完 の関係にある(検出と事前証明の thesis は 「AI 時代のサイバー防衛に残された、最後の層」(Lemma、2026-05)を参照)。

対応経緯と業界動向

  • Verus Protocol: 流出後、攻撃者との交渉により bounty 取り決めを成立させ、約 4,052.4 ETH(約 75%)の返還を受けた。攻撃者は約 1,350 ETH を bounty として保持
  • Halborn: root cause(checkCCEValues の source-amount 検証欠如)と悪用手順の技術解説を公開し、業界横断で問題を可視化
  • 業界横断の論点: 2026 年のブリッジ関連 exploit は累計 3 億ドル規模に達したとされ、cross-chain インフラへの攻撃が継続。Merkle Proof / 署名の有効性検証だけでは value claim の整合を保証できないという設計上の論点が、ブリッジ・レンディング運用者の間で再認識された

「cross-chain の value claim を、暗号構成要素の有効性とは別に、入出力整合としてどう独立検証するか」は、本事案を契機にブリッジ設計の必須要件として議論が進む見込み。

Lemma による分析

本事案で露呈した構造的 gap(cross-chain の value claim が、Merkle Proof 等の暗号的有効性とは別に、入出力額の整合として独立検証されていない)に対して、Lemma は、cross-chain で受け渡される value claim を、受信側が実行前に独立検証可能な暗号証明として受け取り、「source 側で実際に拠出された価値」と「払出額」の整合を proof として検証する設計を提示している。Merkle Proof が形式上有効でも、value claim の proof が入出力不整合を告げれば払出は事前に reject される。「暗号論理的に有効 ≠ 意味的に正しい」という来歴証明カテゴリの設計思想と、その reference 実装は verifiable-origin proof sample(GitHub)に示している。本事案は、既存の reference 実装(ブリッジ来歴の事前証明)が想定する failure mode が直近の現実の損失として顕在化した事例であり、設計の背景は 「2026 年のブリッジ事象が示しているもの — 来歴証明というカテゴリについて」(Lemma、2026-04)および 「Proof-as-Auth: 鍵を一度も送らずにサインインする」(Lemma、2026-05)を参照のこと。

Sources

Brief 配布について

Lemma Critical Brief は Lemma が発行する脅威インテリジェンス・ブリーフです。本資料は公開情報の構造化分析であり、特定の組織への監査・診断・推奨ではありません。意思決定の参考として用いる場合は、貴組織の Lemma Critical 担当に直接ご相談ください。

Discovery Call を予約する → ホワイトペーパーをダウンロード →

(c) 2026 FRAME00, INC. — Built for decisions that matter.

関連 Brief
No. 001
KelpDAO / rsETH 不正アンロック — DVN 観測層への RPC 改ざん攻撃
No. 002
Stake DAO vsdCRV 不正ミント — デプロイヤー鍵による LayerZero v2 信頼設定書き換え
Cite this Brief

この Brief を引用する

Lemma Critical Team. (2026).
"Verus-Ethereum ブリッジ $11.58M 流出 — Merkle Proof は有効でも、入出力額の整合が検証されなかった".
Lemma Critical Brief No.016. Lemma / FRAME00, Inc.
https://lemma.frame00.com/ja/critical/briefs/016-verus-ethereum-bridge/

Brief 配布について

Lemma Critical Brief は Lemma が発行する threat intelligence brief です。本資料は公開情報の構造化分析であり、特定の組織への監査・診断・推奨ではありません。意思決定の参考として用いる場合は、貴組織の Lemma Critical 担当に直接ご相談ください。

Discovery Call ↗ ホワイトペーパー ↗