据区块链安全公司 PeckShield 称,参与 Verus-Ethereum 桥漏洞的攻击者已向该项目 Verus 团队钱包归还 4,052 ETH,价值约 850 万美元。该漏洞在 5 月 18 日通过伪造的跨链转账请求绕过验证机制,导致桥被清空,合计被盗资金达 1,158 万美元。攻击者保留了 1,350 ETH,约 280 万美元,作为根据 Verus team(团队)提出的一项协议达成的协商赏金奖励;该协议设有 24 小时截止期限,并承诺在其履行要求后停止法律行动。
漏洞利用与回收过程如何展开
Blockaid 的漏洞检测系统在 1,158 万美元的持续资金外流中发出警报,链上分析师 Lookonchain 也证实攻击者已将所有被盗资产转换为 5,402 ETH。Verus 以 24 小时截止期限提供 1,350 ETH 赏金,并承诺若肇事者(利用者)完成要求,将停止法律行动。攻击者遵守了条款,将指定金额转至地址 0xF9AB…C1A74。
PeckShield 在 X 上确认:“@veruscoin 桥的漏洞利用者已向团队地址归还 4,052.4 $ETH (约 850 万美元):0xF9AB…C1A74。归还的资金占被盗总额的 75%,使得剩余 25% 的赏金(1,350 $ETH,约 280 万美元)仍在漏洞利用者钱包中。”
赏金谈判在 DeFi 中获得进展
此次回收凸显了一种日益增长的 DeFi 安全模式:协议方与漏洞利用者之间直接协商,作为传统执法的替代方案。Verus 澄清,自愿归还资金并不排除未来的司法或监管介入,这一区分先前的赏金协议也曾强调。
与桥相关的漏洞仍是一项持续威胁。PeckShield 数据显示,2026 年共有八起主要桥接漏洞,累计损失达 3.286 亿美元。Verus 事件也为不断增长的桥接失陷清单增添了新一笔,其中包括本月 THORChain 价值 1,000 万美元的黑客攻击,以及 4 月价值 2.9 亿美元的 rsETH 侵害。
5 月桥接损失大幅下降
据 DefiLlama 称,DeFi 黑客事件在 4 月飙升至累计 6.34 亿美元,主要由价值 2.8 亿美元的 Drift Protocol 漏洞利用和价值 2.93 亿美元的 Kelp 漏洞利用主导。到目前为止,5 月的损失已大幅降至约 3,800 万美元。平台追踪的总历史加密货币损失中,超过 165 亿美元里约 32.2 亿美元来自跨链桥攻击。
更广泛的安全担忧仍然存在
安全研究人员继续认为,跨链验证机制仍是互操作性基础设施中最薄弱的环节。此前,Verus team(团队)曾在社交媒体上推广一项针对 Solana 开发者的赏金计划,并以“会被黑客攻击的桥”来对比其做法。
接下来会怎样
Verus 尚未发布关于此次漏洞利用的正式复盘报告。该项目的桥仍处于暂停状态,团队正在审计底层验证逻辑。尚未披露恢复运营的时间表。
