Verus 跨链桥黑客归还75%被盗资金，协议方接受和解不追究

攻击者归还 4,052 ETH（约 850 万美元），保留 1,350 ETH 作为赏金——Verus 跨链桥劫案以协商收场，但赏金机制是否变相鼓励「先攻后谈」引发讨论。
（前情提要：Verus 以太坊跨链桥遭攻击！Blockaid 监测：损失逾 1,158 万美元）
（背景补充：THORChain 被駭后推出复原提案：千万美元损失协议自行吸收，销毁攻击者 $RUNE）

本文目录

Toggle

• 协商结果与资金归还细节
• 社群反应两极：典范还是诱因？
• 回顾：跨链桥攻击的历史轨迹
• 赏金模式：DeFi 安全的双刃剑

5 月中发生的 Verus Ethereum 跨链桥攻击事件，在经过数日协商后出现重大进展。攻击者于今日主动归还约 4,052 ETH，价值约 850 万美元，占最初被盗 5,402 ETH（约 1,158 万美元）的 75%。协议方 Verus 宣布接受协商结果，同意不追究黑客的法律责任，并将剩余的 1,350 ETH（约 280 万美元）视为白帽赏金，作为攻击者发现并揭露漏洞的回报。

协商结果与资金归还细节

根据链上资料显示，这笔归还资金已从攻击者地址分批转入 Verus 官方指定的钱包。双方并未公开完整的谈判细节，但社区普遍相信这是一场由 Verus 团队主导的「漏洞揭露赏金」式协商。攻击者在社区平台上发表宣告，强调自己并非恶意盗窃，而是希望透过这个行动促使协议重视安全问题，并感谢团队愿意以建设性方式解决。

社群反应两极：典范还是诱因？

然而，Verus 社区内部对此结果看法两极。部分成员认为这是 DeFi 安全史上的典范，透过谈判降低损失、避免冗长诉讼，且最终回收了大部分资金；但也有人批评这等于变相鼓励「先攻击、后谈判」的风气，让黑客能够在保有丰厚报酬的同时全身而退。

回顾：跨链桥攻击的历史轨迹

其实类似模式在跨链桥攻击事件中并非首例。2021 年 7 月，THORChain 遭攻击损失约 500 万美元，攻击者在协议方公开喊话后归还了大部分资金并获得 10% 奖金。同年 8 月，Poly Network 遭到 6.1 亿美元的黑客攻击，黑客在社区舆论压力与协议方协商下，最终归还了几乎所有资金，协议方也未提告。这些案例与 Verus 事件有着相似的轨迹：攻击者并非单纯为了牟利，而是带有「揭露漏洞」的诉求，协议方则以赏金作为诱因促成资金回流。

相较之下，2022 年初的 Wormhole 桥攻击（损失 3.2 亿美元）与 Ronin 桥攻击（损失 6.2 亿美元）则走向完全不同的结局。Wormhole 由母公司 Jump Crypto 全额赔偿，攻击者至今未被捕获；Ronin 则被证实为北韩 Lazarus Group 所为，资金难以追回，最终仅靠执法单位冻结部分资产。这两起事件凸显了「赏金谈判」并非灵丹妙药，能否达成和解往往取决于攻击者的身份与动机。

赏金模式：DeFi 安全的双刃剑

赏金模式在 DeFi 安全生态中扮演的角色愈发复杂。一方面，它为项目方提供了一个快速止血的工具，特别是在缺乏保险机制的早期阶段，赏金能够有效降低最终损失。另一方面，这种模式也可能产生道德风险，让潜在攻击者认为只要归还大部分资金就能免于刑责，甚至还能赚取可观的赏金。长远来看，DeFi 协议仍需回归根本：强化程序码审计、部署即时监控与紧急暂停机制，才能从源头减少此类事件的发生。

Verus 共同创办人 Michael J. Toutonghi 在社区中表示，这次事件让他们学到了宝贵的经验，未来将全面提升桥接合约的安全性，并考虑引入更完善的 bug bounty 机制，让白帽黑客能够在攻击发生前主动回报漏洞。他强调，协议方的首要目标始终是保护用户资产，这次的结果虽然不能算完美，但已经是当前情境下的最佳解决方案。

截至发稿时，Verus 跨链桥已恢复正常运作，用户资金安全无虞。这起事件也为加密行业留下了一个值得深思的案例：当攻击者与协议方之间存在谈判空间时，赏金模式能否成为 DeFi 安全的常态，还是仅仅是治标不治本的权宜之计？