Verus-Bridge-Angreifer zahlt 8,5 Mio. US-Dollar zurück – behält rund 2,9 Mio. als "Bounty"

Der Angreifer, der die Ethereum-Bridge von Verus ausgeräumt hatte, hat nach einer ausgehandelten Einigung den Großteil der Beute zurücküberwiesen. Wie PeckShield und Etherscan zeigen, gingen am 21. Mai 4.052,4 ETH (onchain bewertet rund 8,5 Mio. US-Dollar) an eine Team-Adresse von Verus. Das entspricht etwa 75% der entwendeten Mittel. Vereinbart wurde, dass der Angreifer 1.350 ETH (ca. 2,8 bis 2,9 Mio. US-Dollar) als "Bounty" einbehält. Laut Etherscan kam die Transaktion von einer Wallet mit dem Label "Verus Exploiter 2" an die Adresse 0xF9AB…C1A74. Kurz nach der Rückzahlung verschob der Angreifer die einbehaltenen 1.350 ETH auf eine neue Adresse. PeckShield wies sowohl auf die Rücküberweisung als auch auf die Aufteilung hin. Verus erklärte in einem öffentlichen Post auf X, dass Community-Mitglieder und Entwickler die Bedingungen verhandelt hätten, inklusive Höhe der Bounty, Pflichten des Angreifers und Abwicklungsweg der Rückgabe. Der Angriff erfolgte am 18. Mai und entzog der Verus-Ethereum-Bridge zunächst mehr als 11,5 Mio. US-Dollar. PeckShield zufolge umfasste der Abfluss 103,6 tBTC, 1.625 ETH sowie knapp 147.000 USDC. Später tauschte der Angreifer die Vermögenswerte in rund 5.402 ETH (zum Zeitpunkt der Swaps etwa 11,4 Mio. US-Dollar). Die Sicherheitsfirma Blockaid führte die Kompromittierung auf eine fehlende Prüfung der "sourceamount"-Validierung in der Bridge-Logik zurück. Dadurch habe die Bridge eine gefälschte Crosschain-Transfer-Nachricht akzeptiert. Blockaid betonte, es habe weder ein ECDSA-Bypass noch eine Kompromittierung von "notarykey" vorgelegen, ebenso wenig ein Parser- oder Hashbinding-Fehler. In der Community wurde die Einigung teils als pragmatischer Erfolg gewertet: Befürworter argumentierten, 75% Rückgewinnung sei angesichts des Risikos, dass Mittel in Mixern verschwinden, ein realistisches Ergebnis. Kritiker sehen den Vorfall als Hinweis auf strukturelle Risiken von Bridges und verweisen auf Schwächen bei zentralisierter Verwahrung und Validierung. Als Alternativen werden unter anderem Atomic Swaps genannt, um ähnliche Ausfallmuster zu vermeiden. Der Fall Verus hebt sich von vielen jüngeren Bridge-Hacks ab, weil ein Großteil des abgezogenen ETH nach dem Bounty-Deal an eine Team-Adresse zurückfloss. Häufig werden gestohlene Mittel durch Mixer geschleust oder bleiben unter Kontrolle der Angreifer. Der Vorfall reiht sich dennoch in eine Serie von Crosschain-Sicherheitsproblemen ein: Zuletzt sorgte der Exploit bei Butter Network für einen Kurssturz des MAPO-Tokens. Beim Echo-Protocol/Monad-Vorfall soll ein Angreifer zudem rund 76,7 Mio. US-Dollar an unautorisiertem eBTC gemintet und Gelder über Tornado Cash bewegt haben. Warum das relevant ist: Bridges gelten im DeFi-Umfeld als besonders attraktive Angriffsfläche, weil sie Vermögenswerte kettenübergreifend bündeln. Schwache Validierung kann unautorisierte Transfers auslösen, Reserven verschieben oder neu prägen und so Mittel abziehen, bevor Teams reagieren. Die Verus-Rückgabe zeigt, dass verhandelte Recoveries funktionieren können, macht aber auch den Druck deutlich, Validierung und Verwahrmodelle im Bridge-Ökosystem zu härten. Die Lage entwickelt sich weiter; Onchain-Daten und Analysen von Sicherheitsfirmen bleiben die wichtigsten Quellen für Updates.