Verus-Ethereumブリッジのエクスプロイトの背後にいる攻撃者は、ブロックチェーン・セキュリティ企業PeckShieldによれば、約$8.5 million相当の4,052 Etherをプロジェクトのチーム用ウォレットに返還した。エクスプロイトでは5月18日に、バリデーション機構を回避する偽造のクロスチェーン転送要求によってブリッジから資金が流出し、合計で1,158万ドルの盗難資金が発生した。攻撃者は、Verusチームが提案した24時間の期限付きの合意に基づく交渉済みのバウンス(報奨金)として、約280万ドルに相当する1,350 ETHを保持した。さらに、遵守すれば法的措置を停止する旨が約束されていた。
エクスプロイトと復旧の経緯
Blockaidのエクスプロイト検知システムは、進行中の流出が1,158万ドルに達していることを検知し、オンチェーン分析のLookonchainは、攻撃者が盗まれた資産をすべて5,402 ETHに変換したことを確認した。Verusは24時間の期限付きで1,350 ETHのバウンスを提示し、悪用者が応じれば法的措置を停止すると誓った。攻撃者は条件を履行し、指定された金額をアドレス0xF9AB…C1A74に送金した。
PeckShieldはXで次のように確認した。「@veruscoin のブリッジ悪用者は、チームのアドレス: 0xF9AB…C1A74 に4,052.4 $ETH (約$8.5M)を返還した。返還された資金は盗難総額の75%に相当し、悪用者のウォレットに残った25%のバウンス(1,350 $ETH、約$2.8M)を残している。」
Bounty Negotiations Gain Traction in DeFi
この回復は、DeFiセキュリティにおける成長中のパターンを示している。すなわち、従来の取り締まりの代替として、プロトコルとエクスプロイターの間で直接交渉することだ。Verusは、自主的な資金の返還が将来の司法または規制による介入を妨げるものではないと明確にした。こうした法的な区別は、過去のバウンス契約でも同様に強調されている。
ブリッジ関連のエクスプロイトは、依然として根強い脅威だ。PeckShieldのデータによると、2026年には合計で3億2,860万ドルの累積損失につながる8件の主要ブリッジ・エクスプロイトが発生している。今回のVerusの件は、今月のTHORChainの1,000万ドルのハックや、4月の290 million rsETH侵害を含む、ブリッジの乗っ取り(コンプロマイズ)が増え続けている一覧に加わった。
Bridge Losses Drop Sharply in May
DeFiハックは4月に累計6億3,400万ドルまで急増しており、主に2億8,000万ドルのDrift Protocolエクスプロイトと2億9,300万ドルのKelpエクスプロイトに支配されていた。DefiLlamaによると、5月の損失はこれまでのところ急減して約3,800万ドルだ。クロスチェーン・ブリッジ攻撃は、このプラットフォームが追跡する総計1,650億ドル超の累計暗号資産損失のうち、約32.2億ドルを占めている。
Broader Security Concerns Persist
セキュリティ研究者は、クロスチェーンの検証メカニズムが相互運用性インフラにおける最も弱いリンクのままであると、引き続き主張している。Verusチームはこれまで、ソーシャルメディア上でSolana開発者向けのバウンスを推進しており、「ハックされるブリッジ」と対比する形で自らのアプローチを説明していた。
What's Next
Verusは、今回のエクスプロイトに関する正式なポストモーテムをまだ公開していない。プロジェクトのブリッジは、チームが基盤となる検証ロジックを監査する間、停止されたままだ。再開の時期については開示されていない。
