Verus 桥攻击者退还 850 万美元，保留悬赏金

• PeckShield 表示 Verus 桥漏洞利用者已归还 4,052 ETH，相当于被盗资金的75%。
• 漏洞利用者在 Verus 公布和解条款后，保留了 1,350 ETH 作为悬赏。
• 早期报道将 Verus 桥漏洞与跨链转账逻辑中缺失验证检查联系起来。

Verus 以太坊桥漏洞利用者在提出和解方案后已归还 4,052 ETH 给项目团队，同时保留 1,350 ETH 作为悬赏。

PeckShield 表示，Verus 桥漏洞利用者已向一个 Verus 团队地址归还 4,052.4 ETH，价值约 850 万美元。该公司称归还的资产占被盗总额的75%。

Etherscan数据显示，5月21日，一个标记为 Verus Exploiter 2 的钱包成功向地址 0xF9AB…C1A74 转账了 4,052 ETH。该笔交易在区块链浏览器显示的 ETH 价格下价值约 859 万美元。

PeckShield 表示，剩余的 25% 被漏洞利用者作为悬赏保留。一笔单独的 Etherscan 交易显示，价值约 286 万美元的 1,350 ETH 在归还转账几分钟后，从漏洞利用者钱包转移到一个新地址。

悬赏提议伴随公开的 Verus 条款

Verus 早前向漏洞利用者发布消息，称其社区和开发者已讨论资金归还的条款。该消息称，条款涵盖悬赏金额、漏洞利用者的义务，以及资产的归还方式。

根据 X 上的公开 Verus 消息，社区已同意悬赏 1,350 ETH。该提议与归还剩余资金和按照提议条款解决问题挂钩。

此次归还使 Verus 案例不同于许多桥攻击，后者被盗资金常通过混合器转移或仍由攻击者控制。在本案中，大部分被盗 ETH 在悬赏提议后返回了团队地址。

早期漏洞耗资 1150 万美元

资金归还发生在 5 月 18 日的 Verus 以太坊桥攻击之后。早期报道指出，攻击者利用被安全研究人员描述为伪造的跨链转账消息，导致桥丢失超过 1150 万美元。

PeckShield 报告称，被盗资产包括 103.6 个 tBTC、1,625 ETH 和近 147,000 USDC。攻击者随后将被盗资产兑换成 5,402 ETH，按当时价格价值约 1140 万美元。

Blockaid 将此次漏洞归因于桥逻辑中缺失的源金额验证。该公司表示，这不是 ECDSA 绕过，也不是公证人密钥泄露，更不是解析器或哈希绑定漏洞。

桥安全仍面临压力

Verus 的资产归还发生在跨链安全事件频发的时期。近期报道指出，MAPO 在攻击者利用 Butter Network 桥后，代币被大量铸造，跌幅达 96%。

Echo Protocol 也在攻击者在 Monad 上铸造约 7670 万美元的未授权 eBTC 后暂停了跨链操作。链上调查人员称，漏洞利用者在通过 Tornado Cash 转移资金前，使用伪造的 eBTC 作为抵押。

这些案例显示，桥验证仍是 DeFi 的核心风险。桥在不同链之间持有资产，弱验证可能允许攻击者触发转账、铸造代币或移动储备，团队尚未能及时阻止资金流动。