Verus 跨鏈橋攻擊者歸還 850 萬美元資產　保留約 290 萬美元作 25% 賞金

Verus 以太坊跨鏈橋遭盜後，攻擊者在協商下歸還大部分資產，並保留約四分之一作賞金。 區塊鏈安全機構 PeckShield 及 Etherscan 顯示，5 月 21 日攻擊者向 Verus 團隊地址轉入 4,052.4 枚 ETH，按鏈上價格約值 850 萬美元。該筆轉帳約佔被盜總額 75%；攻擊者按協議保留 1,350 枚 ETH（約 280 萬至 290 萬美元）作賞金。 Etherscan 資料顯示，資金由標記為「Verus Exploiter 2」的錢包轉至 0xF9AB…C1A74。歸還大額資金後數分鐘，攻擊者把 1,350 枚 ETH 轉往新地址。PeckShield 指出上述歸還及分拆動作；Verus 亦在 X 發文稱，條款由社群成員與開發者協商，包括賞金比例、攻擊者需履行的責任，以及資產歸還安排。 事件發生於 5 月 18 日，初步估計從 Verus 以太坊跨鏈橋被抽走超過 1,150 萬美元資產。PeckShield 指，被盜資產組合包括 103.6 枚 tBTC、1,625 枚 ETH，以及接近 147,000 枚 USDC；其後攻擊者把資產兌換成約 5,402 枚 ETH（在兌換當時約值 1,140 萬美元）。 就漏洞成因，Blockaid 指跨鏈橋邏輯缺少對 sourceamount 的驗證，令偽造的跨鏈轉帳訊息可被接受。Blockaid 強調事件並非 ECDSA 繞過、亦非 notarykey 遭入侵，亦非解析器或 hashbinding 缺陷。 市場觀點分歧。有意見認為協商回收屬務實做法，在資金可能流入混幣器的情況下，取回 75% 屬可接受結果；亦有人指事件反映跨鏈橋的系統性風險仍高，尤其是中心化託管及驗證機制薄弱，並建議以 atomic swaps 等方案降低同類失效模式。 與不少近期跨鏈橋盜案不同，Verus 案中大部分被抽走的 ETH 最終回到團隊地址；過往不少事件資金會被混幣或長期由攻擊者控制。即使如此，此事發生之際跨鏈安全事故頻仍，近期亦包括 Butter Network 遭攻擊令 MAPO 代幣價格急挫，以及 Echo Protocol/Monad 事件中攻擊者未經授權鑄造約 7,670 萬美元 eBTC 並透過 Tornado Cash 轉移資金。 跨鏈橋因需跨鏈託管資產，一直是 DeFi 的主要攻擊面。若驗證機制不足，攻擊者可觸發未經授權的轉移、鑄造或挪用儲備，並在團隊反應前抽走資金。Verus 的歸還安排一方面顯示協商回收或具一定成效，另一方面亦凸顯業界急需強化跨鏈橋的驗證與託管模型。 事件仍在發展中，後續以鏈上數據及安全公司分析為主要更新來源。