據區塊鏈安全公司 PeckShield 指出,Verus-Ethereum 跨鏈橋被利用事件背後的攻擊者已將 4,052 Ether(價值約 850 萬美元)退還給該專案的團隊錢包。此次漏洞使攻擊者於 5 月 18 日透過偽造的跨鏈轉帳請求、繞過驗證機制,導致橋被掏空,合計竊取資金達 1,158 萬美元。攻擊者保留了 1,350 ETH(約 280 萬美元),作為在 Verus 團隊提出的一項交易中談妥的獎金;該交易設有 24 小時期限,並承諾只要達成要求就停止採取法律行動。
演變過程:此次漏洞利用與資金回收
Blockaid 的漏洞偵測系統在 1,158 萬美元的規模持續掏空時發出警報,而鏈上分析師 Lookonchain 也證實攻擊者已將所有被盜資產兌換成 5,402 ETH。Verus 提供 1,350 ETH 的獎金,並設有 24 小時期限;若該漏洞利用者配合,則承諾停止法律行動。攻擊者遵守條款,已將指定金額轉回以處理地址 0xF9AB…C1A74。
PeckShield 在 X 上確認:「@veruscoin 橋梁的漏洞利用者已向團隊地址 0xF9AB…C1A74 退回 4,052.4 ETH(約 850 萬美元)。退回資金代表被盜總額的 75%,剩下 25% 作為獎金(1,350 $ETH,約 280 萬美元)留在漏洞利用者的錢包中。」
獎金協商在 DeFi 中獲得動能
此次回收凸顯了 DeFi 安全上的一種日益增長的趨勢:在傳統執法之外,協定與漏洞利用者之間進行直接談判。Verus 澄清,自願返還資金不會排除未來的司法或監管介入;這一法律區分先前的獎金交易也同樣強調過。
與橋相關的漏洞利用一直是持續性的威脅。PeckShield 數據顯示,2026 年共有 8 起重大橋梁漏洞利用事件,累計損失達 3 億 2,860 萬美元。Verus 事件進一步增加了不斷擴大的橋梁遭到破壞名單,其中包括本月 THORChain 的 1,000 萬美元駭入,以及 4 月的 2.9 億美元 rsETH 侵入。
5 月的橋梁損失大幅下滑
根據 DefiLlama,4 月的 DeFi 駭客攻擊激增至累計 6.34 億美元,其中以 Drift Protocol 的 2.8 億美元漏洞利用與 Kelp 的 2.93 億美元漏洞利用為主。到目前為止,5 月的損失已大幅下降至約 3,800 萬美元。該平台追蹤的總體加密貨幣歷史損失中,跨鏈橋攻擊約占 32.2 億美元,且整體歷史損失超過 165 億美元。
更廣泛的安全疑慮仍然存在
安全研究人員持續主張:跨鏈驗證機制仍是互通性基礎設施中最薄弱的一環。Verus 團隊先前曾在社群媒體上推廣針對 Solana 開發者的獎金,並將其作法與「會被駭的橋」作對比。
接下來呢?
Verus 尚未就此次漏洞利用發布正式的事後檢討。該專案的橋仍暫停中,直到團隊完成對底層驗證邏輯的稽核。恢復時間表尚未公開。
