El atacante del puente Verus devuelve $8.5M, se queda con la recompensa

• PeckShield dice que el explotador del puente Verus devolvió 4,052 ETH, equivalentes al 75% de los fondos robados.
• El explotador se quedó con 1,350 ETH como recompensa después de que Verus propusiera públicamente los términos de la liquidación.
• Informes anteriores vinculaban la explotación del puente Verus a la falta de verificaciones de validación en la lógica de transferencia entre cadenas.

El explotador del puente Ethereum de Verus ha devuelto 4,052 ETH al equipo del proyecto tras una oferta de acuerdo, mientras se quedó con 1,350 ETH como recompensa.

PeckShield dijo que el explotador del puente Verus devolvió 4,052.4 ETH, valorados en aproximadamente 8.5 millones de dólares, a una dirección del equipo Verus. La firma afirmó que los activos devueltos representaban el 75% del total robado.

Los datos de Etherscan muestran una transferencia exitosa de 4,052 ETH desde una cartera etiquetada como Verus Exploiter 2 a la dirección 0xF9AB…C1A74 el 21 de mayo. La transacción fue valorada en unos 8.59 millones de dólares según el precio de ETH mostrado por el explorador.

PeckShield dijo que el 25% restante permaneció con el explotador como recompensa. Una transacción separada en Etherscan muestra que 1,350 ETH, valorados en unos 2.86 millones de dólares, se movieron desde la cartera del explotador a una nueva dirección minutos después de la transferencia de devolución.

La oferta de recompensa siguió los términos públicos de Verus

Verus había publicado anteriormente un mensaje dirigido al explotador del puente, diciendo que su comunidad y desarrolladores habían discutido los términos para la devolución de los fondos. La publicación decía que los términos cubrían el tamaño de la recompensa, las obligaciones del explotador y cómo podrían devolverse los activos.

Según el mensaje público de Verus en X, la comunidad había acordado una recompensa de 1,350 ETH. La oferta estaba vinculada a la devolución de los fondos restantes y a resolver el asunto bajo los términos propuestos.

La devolución ahora hace que el caso de Verus sea diferente de muchos ataques a puentes, donde los fondos robados a menudo se mueven a través de mezcladores o permanecen bajo control del atacante. En este caso, la mayor parte del ETH drenado se movió de vuelta a una dirección del equipo tras la oferta de recompensa.

El exploit anterior drenó 11.5 millones de dólares

La devolución de fondos sigue al ataque al puente Ethereum de Verus del 18 de mayo. Coberturas anteriores informaron que el puente perdió más de 11.5 millones de dólares después de que los atacantes usaron lo que los investigadores de seguridad describieron como un mensaje de transferencia entre cadenas falsificado.

PeckShield había reportado que los activos drenados incluían 103.6 tBTC, 1,625 ETH y casi 147,000 USDC. El atacante luego intercambió los activos robados por 5,402 ETH, valorados en unos 11.4 millones de dólares en ese momento.

Blockaid vinculó la explotación a la falta de validación del monto de origen en la lógica del puente. La firma dijo que el problema no fue una omisión de ECDSA, ni una compromisión de la clave del notario, ni un error en el analizador o en la vinculación de hashes.

La seguridad del puente sigue bajo presión

La recuperación de Verus ocurre en un período de alta actividad en incidentes de seguridad entre cadenas. Coberturas recientes indicaron que MAPO cayó un 96% después de que los atacantes explotaron el puente Butter Network y acuñaron una gran cantidad de tokens no autorizados.

Echo Protocol también pausó la actividad entre cadenas después de que un atacante acuñara unos 76.7 millones de dólares en eBTC no autorizado en Monad. Investigadores en cadena dijeron que el explotador usó eBTC falso como colateral antes de mover fondos a través de Tornado Cash.

Estos casos muestran por qué la validación en los puentes sigue siendo un riesgo central para DeFi. Los puentes mantienen activos en diferentes cadenas, por lo que verificaciones débiles pueden permitir a los atacantes activar transferencias, acuñar tokens o mover reservas antes de que los equipos puedan detener el flujo.