Penyerang jembatan Verus mengirim kembali $8,5 juta, menyimpan hadiah

• PeckShield mengatakan pelaku eksploitasi jembatan Verus mengembalikan 4.052 ETH, setara dengan 75% dari dana yang dicuri.
• Pelaku eksploitasi menyimpan 1.350 ETH sebagai hadiah setelah Verus mengusulkan syarat penyelesaian secara terbuka.
• Laporan sebelumnya mengaitkan eksploitasi jembatan Verus dengan pemeriksaan validasi yang hilang dalam logika transfer lintas rantai.

Pelaku eksploitasi jembatan Ethereum Verus telah mengembalikan 4.052 ETH ke tim proyek setelah tawaran penyelesaian, sementara menyimpan 1.350 ETH sebagai hadiah.

PeckShield mengatakan pelaku eksploitasi jembatan Verus mengembalikan 4.052,4 ETH, senilai sekitar $8,5 juta, ke alamat tim Verus. Perusahaan mengatakan aset yang dikembalikan mewakili 75% dari total yang dicuri.

Data Etherscan menunjukkan transfer sukses sebanyak 4.052 ETH dari dompet yang diberi label Verus Exploiter 2 ke alamat 0xF9AB…C1A74 pada 21 Mei. Transaksi tersebut bernilai sekitar $8,59 juta berdasarkan harga ETH yang ditampilkan oleh penjelajah.

PeckShield mengatakan sisa 25% tetap di tangan pelaku sebagai hadiah. Transaksi Etherscan terpisah menunjukkan 1.350 ETH, senilai sekitar $2,86 juta, dipindahkan dari dompet pelaku ke alamat baru beberapa menit setelah transfer pengembalian.

Tawaran hadiah mengikuti syarat publik Verus

Verus sebelumnya memposting pesan kepada pelaku eksploitasi jembatan, mengatakan komunitas dan pengembangnya telah membahas syarat pengembalian dana. Post tersebut menyebutkan syarat terkait ukuran hadiah, kewajiban pelaku, dan bagaimana aset dapat dikembalikan.

Menurut pesan publik Verus dari X, komunitas telah menyetujui hadiah sebesar 1.350 ETH. Tawaran tersebut terkait dengan pengembalian dana yang tersisa dan penyelesaian masalah berdasarkan syarat yang diusulkan.

Pengembalian ini sekarang membuat kasus Verus berbeda dari banyak serangan jembatan, di mana dana yang dicuri sering berpindah melalui mixer atau tetap di bawah kendali penyerang. Dalam kasus ini, sebagian besar ETH yang disedot kembali ke alamat tim setelah tawaran hadiah.

Eksploitasi sebelumnya menguras $11,5 juta

Pengembalian dana ini mengikuti serangan jembatan Ethereum Verus pada 18 Mei. Liputan sebelumnya melaporkan bahwa jembatan kehilangan lebih dari $11,5 juta setelah penyerang menggunakan pesan transfer lintas rantai yang dipalsukan menurut para peneliti keamanan.

PeckShield melaporkan bahwa aset yang disedot termasuk 103,6 tBTC, 1.625 ETH, dan hampir 147.000 USDC. Penyerang kemudian menukarkan aset yang dicuri menjadi 5.402 ETH, senilai sekitar $11,4 juta pada saat itu.

Blockaid mengaitkan eksploitasi ini dengan hilangnya validasi sumber jumlah di dalam logika jembatan. Perusahaan mengatakan masalah ini bukan merupakan bypass ECDSA, bukan kompromi kunci notaris, dan bukan bug parser atau pengikatan hash.

Keamanan jembatan tetap di bawah tekanan

Pemulihan Verus terjadi di tengah periode sibuk untuk insiden keamanan lintas rantai. Liputan terbaru menyebutkan MAPO turun 96% setelah penyerang mengeksploitasi jembatan Butter Network dan mencetak sejumlah besar token tidak sah.

Echo Protocol juga menghentikan aktivitas lintas rantai setelah penyerang mencetak sekitar $76,7 juta dalam eBTC tidak sah di Monad. Penyelidik on-chain mengatakan pelaku eksploitasi menggunakan eBTC palsu sebagai jaminan sebelum memindahkan dana melalui Tornado Cash.

Kasus-kasus ini menunjukkan mengapa validasi jembatan tetap menjadi risiko utama untuk DeFi. Jembatan menyimpan aset di berbagai rantai, sehingga pemeriksaan yang lemah dapat memungkinkan penyerang memicu transfer, mencetak token, atau memindahkan cadangan sebelum tim dapat menghentikan aliran tersebut.