Verus Bridge 黑客在 1,350 ETH 悬赏交易后归还价值 850 万美元的 ETH

据区块链安全公司 PeckShield 称，参与 Verus-Ethereum 桥漏洞的攻击者已向该项目 Verus 团队钱包归还 4,052 ETH，价值约 850 万美元。该漏洞在 5 月 18 日通过伪造的跨链转账请求绕过验证机制，导致桥被清空，合计被盗资金达 1,158 万美元。攻击者保留了 1,350 ETH，约 280 万美元，作为根据 Verus team（团队）提出的一项协议达成的协商赏金奖励；该协议设有 24 小时截止期限，并承诺在其履行要求后停止法律行动。

漏洞利用与回收过程如何展开

Blockaid 的漏洞检测系统在 1,158 万美元的持续资金外流中发出警报，链上分析师 Lookonchain 也证实攻击者已将所有被盗资产转换为 5,402 ETH。Verus 以 24 小时截止期限提供 1,350 ETH 赏金，并承诺若肇事者（利用者）完成要求，将停止法律行动。攻击者遵守了条款，将指定金额转至地址 0xF9AB…C1A74。

PeckShield 在 X 上确认：“@veruscoin 桥的漏洞利用者已向团队地址归还 4,052.4 $ETH （约 850 万美元）：0xF9AB…C1A74。归还的资金占被盗总额的 75%，使得剩余 25% 的赏金（1,350 $ETH，约 280 万美元）仍在漏洞利用者钱包中。”

赏金谈判在 DeFi 中获得进展

此次回收凸显了一种日益增长的 DeFi 安全模式：协议方与漏洞利用者之间直接协商，作为传统执法的替代方案。Verus 澄清，自愿归还资金并不排除未来的司法或监管介入，这一区分先前的赏金协议也曾强调。

与桥相关的漏洞仍是一项持续威胁。PeckShield 数据显示，2026 年共有八起主要桥接漏洞，累计损失达 3.286 亿美元。Verus 事件也为不断增长的桥接失陷清单增添了新一笔，其中包括本月 THORChain 价值 1,000 万美元的黑客攻击，以及 4 月价值 2.9 亿美元的 rsETH 侵害。

5 月桥接损失大幅下降

据 DefiLlama 称，DeFi 黑客事件在 4 月飙升至累计 6.34 亿美元，主要由价值 2.8 亿美元的 Drift Protocol 漏洞利用和价值 2.93 亿美元的 Kelp 漏洞利用主导。到目前为止，5 月的损失已大幅降至约 3,800 万美元。平台追踪的总历史加密货币损失中，超过 165 亿美元里约 32.2 亿美元来自跨链桥攻击。

更广泛的安全担忧仍然存在

安全研究人员继续认为，跨链验证机制仍是互操作性基础设施中最薄弱的环节。此前，Verus team（团队）曾在社交媒体上推广一项针对 Solana 开发者的赏金计划，并以“会被黑客攻击的桥”来对比其做法。

接下来会怎样

Verus 尚未发布关于此次漏洞利用的正式复盘报告。该项目的桥仍处于暂停状态，团队正在审计底层验证逻辑。尚未披露恢复运营的时间表。