Эксплуататор моста Verus вернул $8,5 млн и оставил себе вознаграждение около $2,9 млн

Эксплуататор, вывевший средства из Ethereum-моста Verus, вернул основную часть похищенного после переговоров с командой проекта, оставив себе согласованное вознаграждение. По данным PeckShield и Etherscan, 21 мая злоумышленник перечислил на адрес команды Verus 4 052,4 ETH (примерно $8,5 млн по ончейн-ценам). Это около 75% от общей суммы украденного. У себя он сохранил 1 350 ETH (≈ $2,8–2,9 млн) как "баунти". Etherscan фиксирует, что перевод был отправлен с кошелька, помеченного как "Verus Exploiter 2", на адрес 0xF9AB…C1A74. Через несколько минут после возврата основной части средств злоумышленник перевел 1 350 ETH на новый адрес. В публичном сообщении Verus в X говорится, что условия сделки обсуждались участниками сообщества и разработчиками; стороны согласовали размер вознаграждения, обязательства эксплуататора и порядок возврата активов. Как произошла атака и что было похищено Эксплойт произошел 18 мая и, по первоначальным оценкам, привел к выводу более чем $11,5 млн из Ethereum-моста Verus. PeckShield сообщал, что среди украденного были 103,6 tBTC, 1 625 ETH и почти 147 000 USDC. Позднее злоумышленник конвертировал активы примерно в 5 402 ETH (около $11,4 млн на момент свопов). Причина уязвимости Blockaid связала взлом с отсутствием проверки sourceamount в логике моста. Этот пробел в валидации позволил принять поддельное сообщение о кроссчейн-переводе. В Blockaid подчеркнули, что речь не идет об обходе ECDSA, компрометации notarykey, а также об ошибках парсера или hashbinding. Реакция рынка и контекст Часть наблюдателей назвала сделку прагматичным исходом: сторонники переговорного возврата считают, что восстановление 75% активов лучше, чем потеря всего при выводе через миксеры. Другие указали, что инцидент подчеркивает системные риски мостов. Критики обратили внимание на слабые места централизованной модели хранения и валидации и предложили альтернативы вроде atomic swaps, чтобы снизить вероятность подобных отказов. Случай Verus выделяется на фоне многих недавних взломов мостов тем, что большая часть выведенного ETH вернулась на командный адрес после сделки о вознаграждении. Во многих прошлых атаках средства уходили в миксеры или оставались под контролем атакующих. Инцидент произошел на фоне серии сбоев в кроссчейн-безопасности. Среди недавних примеров — взлом Butter Network, после которого цена токена MAPO резко упала, а также случай Echo Protocol/Monad, где злоумышленник отчеканил около $76,7 млн несанкционированного eBTC и провел средства через Tornado Cash. Почему это важно Мосты остаются одной из ключевых поверхностей атаки в DeFi, поскольку удерживают активы сразу в нескольких сетях. Недостатки валидации позволяют запускать несанкционированные переводы, минтить или перемещать резервы и выводить средства до реакции команды. Возврат в истории Verus показывает, что переговорные решения иногда дают результат, но также подчеркивает необходимость усиления валидации и пересмотра моделей хранения и проверки в мостах. Ситуация продолжает развиваться; для дальнейших обновлений ключевыми источниками остаются ончейн-данные и отчеты компаний по безопасности.