Le pirate de Verus Bridge récupère 8,5 millions d’ETH après un accord de récompense de 1 350 ETH

L’attaquant à l’origine de l’exploit du pont Verus-Ethereum a restitué 4 052 Ether, d’une valeur approximative de 8,5 millions de dollars, au portefeuille de l’équipe du projet, selon la société de sécurité blockchain PeckShield. L’exploit a vidé le pont le 18 mai via de fausses requêtes de transfert cross-chain qui contournaient les mécanismes de validation, entraînant 11,58 millions de dollars de fonds dérobés au total. L’attaquant a conservé 1 350 ETH, soit environ 2,8 millions de dollars, en tant que récompense de bounty négociée dans le cadre d’un accord proposé par l’équipe Verus avec une échéance de 24 heures et l’engagement de suspendre toute action en justice en cas de conformité.

Comment l’exploit et la récupération se sont déroulés

Le système de détection d’exploit de Blockaid a signalé le siphonnage en cours à 11,58 millions de dollars, et l’analyste en chaîne Lookonchain a confirmé que l’attaquant avait converti l’ensemble des actifs volés en 5 402 ETH. Verus a proposé le bounty de 1 350 ETH avec une échéance de 24 heures, s’engageant à suspendre toute action en justice si l’exploiteur se conformait. L’attaquant a respecté les termes, en transférant le montant spécifié à l’adresse 0xF9AB…C1A74.

PeckShield a confirmé sur X : « The @veruscoin Bridge exploiter has returned 4,052.4 $ETH (~$8.5M) to the team address: 0xF9AB…C1A74. The returned funds represent 75% of the stolen total, leaving a 25% bounty (1,350 $ETH, ~$2.8M) in the exploiter's wallet. »

Les négociations de bounty prennent de l’ampleur dans la DeFi

La récupération illustre un schéma croissant en matière de sécurité DeFi : des négociations directes entre protocoles et exploiters comme alternative à l’application traditionnelle. Verus a précisé que la restitution volontaire des fonds ne préjuge pas d’une future intervention judiciaire ou réglementaire ; une distinction juridique que des accords de bounty précédents ont également soulignée.

Les exploits liés aux ponts demeurent une menace persistante. Les données de PeckShield montrent huit principaux exploits de pont en 2026, pour un total de 328,6 millions de dollars de pertes cumulées. L’incident Verus s’ajoute à une liste croissante de compromissions de ponts incluant le hack de 10 millions de dollars de THORChain ce mois-ci et la violation de rsETH de 290 millions de dollars d’avril.

Les pertes de pont chutent fortement en mai

Les hacks DeFi ont grimpé à un total cumulé de 634 millions de dollars en avril, dominés par l’exploit de 280 millions de dollars du protocole Drift et l’exploit de 293 millions de dollars de Kelp. Les pertes de mai ont fortement baissé, à environ 38 millions de dollars à ce stade, selon DefiLlama. Les attaques de ponts cross-chain représentent environ 3,22 milliards de dollars sur les plus de 16,5 milliards de dollars de pertes historiques crypto totales suivies par la plateforme.

Les préoccupations plus larges en matière de sécurité persistent

Des chercheurs en sécurité continuent d’affirmer que les mécanismes de vérification cross-chain restent le maillon le plus faible de l’infrastructure d’interopérabilité. L’équipe Verus avait déjà promu sur les réseaux sociaux un bounty destiné à un développeur Solana, contrastant sa démarche avec « des ponts qui se font pirater ».

Et ensuite

Verus n’a pas encore publié de compte rendu post-mortem formel concernant l’exploit. Le pont du projet reste suspendu pendant que l’équipe audite la logique de vérification sous-jacente. Aucune chronologie de reprise n’a été divulguée.