Verus 以太坊桥漏洞利用者在提出和解后已向项目团队返还 4,052 ETH,同时保留 1,350 ETH 作为赏金。
- PeckShield 表示,Verus 桥漏洞利用者返还了 4,052 ETH,相当于被盗资金的 75%。
- 在 Verus 公开提出和解条款后,攻击者保留了 1,350 ETH 作为赏金。
- 早期报告将 Verus 桥漏洞与跨链传输逻辑中缺少验证检查联系起来。
PeckShield 表示,Verus 桥漏洞利用者将 4,052.4 ETH(价值约 850 万美元)返还至 Verus 团队地址。该公司表示,返还的资产占被盗总资产的 75%。
Etherscan 数据显示于 5 月 21 日成功将 4,052 ETH 从标记为 Verus Exploiter 2 的钱包转移到地址 0xF9AB…C1A74。按照浏览器显示的 ETH 价格计算,这笔交易的价值约为 859 万美元。
PeckShield 表示,剩下的 25% 作为赏金留在了剥削者那里。另一笔 Etherscan 交易显示 1,350 ETH,价值约 286 万美元,在返回转账几分钟后从漏洞利用者钱包转移到新地址。
一些 X 用户将恢复视为协商退货的胜利。 Bee Swarm 表示“75% 的回收率是新标准”,并认为在资金消失后,赏金交易比法律威胁更有效。
其他人表示,该漏洞仍然指向更深层次的桥梁风险。 Zenthis 认为部分恢复并不能解决“桥中的集中托管”问题,同时指出原子交换作为替代方案。
赏金优惠遵循公开 Verus 条款
Verus 早些时候发布给桥接攻击者一条消息,称其社区和开发者已经讨论了资金返还条款。该帖子称,这些条款涵盖了赏金规模、剥削者的义务以及如何返还资产。
根据 X 公开的 Verus 消息,社区已同意 1,350 ETH 的赏金。该要约与返还剩余资金并根据拟议条款解决问题有关。
现在的回报使得 Verus 案例与许多桥接攻击不同,在桥接攻击中,被盗资金经常通过混合器转移或仍处于攻击者的控制之下。在这种情况下,大部分被耗尽的 ETH 在提供赏金后又转移回团队地址。
早期利用漏洞损失了 1150 万美元
资金返还是在 5 月 18 日 Verus 以太坊桥攻击之后进行的。早些时候的报道报道,在攻击者使用安全研究人员所描述的伪造的跨链传输消息后,该桥损失了超过 1150 万美元。
PeckShield 报告称,被流失的资产包括 103.6 tBTC、1,625 ETH 和近 147,000 USDC。攻击者随后将窃取的资产兑换成 5,402 ETH,当时价值约 1140 万美元。
Blockaid 将该漏洞与桥接逻辑内缺少源数量验证相关联。该公司表示,问题不是 ECDSA 绕过,不是公证密钥泄露,也不是解析器或哈希绑定错误。
桥梁安全仍然面临压力
Verus 的恢复正值跨链安全事件的繁忙时期。最近的报道称,在攻击者利用黄油网络桥并铸造大量未经授权的代币后,MAPO 下跌了 96%。
在攻击者在 Monad 上铸造了约 7670 万美元未经授权的 eBTC 后,Echo Protocol 还暂停了跨链活动。链上调查人员表示,攻击者在通过 Tornado Cash 转移资金之前,使用了假 eBTC 作为抵押品。
这些案例说明了为什么桥接验证仍然是 DeFi 的核心风险。桥接器跨链持有资产,因此薄弱的检查可能会让攻击者在团队停止流动之前触发转账、铸造代币或移动储备。