Ein Angreifer, der mit dem Exploit der Verus-Ethereum-Bridge vom 18. Mai in Verbindung steht, hat am Donnerstag 4.052,4 ETH – rund 8,5 Millionen Dollar – an die Wallet des Projekts zurückgegeben und 1.350 ETH, etwa 2,8 Millionen Dollar, als Belohnung im Rahmen eines von den Kern-Entwicklern von Verus vorgeschlagenen Vergleichs einbehalten. Das Blockchain-Sicherheitsunternehmen PeckShield erklärte unter Berufung auf Onchain-Daten, dass der zurückgegebene Betrag 75 % der abgezogenen Vermögenswerte ausmacht, während die Belohnung vom Angreifer inzwischen auf eine neue Wallet-Adresse überwiesen wurde.
Die Überweisung erfolgte nur wenige Stunden, nachdem das Verus-Team die Bedingungen am Donnerstag in einem Beitrag auf X öffentlich dargelegt und dem Angreifer mitgeteilt hatte, dass die Rückgabe von 4.052,4 ETH innerhalb von 24 Stunden die Community dazu veranlassen würde, laufende Ermittlungen einzustellen, keine Anklage zu erheben und auf außergerichtliche Maßnahmen zu verzichten. Das Team kündigte außerdem eine öffentliche Bestätigung an, die die einbehaltenen 1.350 ETH als Belohnung ausweist. Zum Zeitpunkt des Redaktionsschlusses hatte Verus den Eingang der Mittel noch nicht förmlich bestätigt.
Warum das wichtig ist
Die Verus-Ethereum-Bridge wurde am 18. Mai um 23:55 Uhr UTC kompromittiert, wie aus einer Discord-Bekanntmachung des Teams hervorgeht. Blockaid bezifferte die Gesamtverluste auf 11,58 Millionen Dollar, während PeckShield meldete, dass die Bridge um 103,6 tBTC, 1.625 ETH und 147.000 USDC erleichtert worden sei – Vermögenswerte, die der Angreifer später in 5.402 ETH im Wert von etwa 11,4 Millionen Dollar tauschte. Die 75/25-Aufteilung bewertet die Toleranz des Protokolls faktisch mit rund 2,8 Millionen Dollar und seinen Wunsch, den Vorfall rasch abzuschließen, lässt dem Angreifer jedoch eine öffentlich benannte Belohnung, die zugleich als Gewinn und als Haftungsfreistellung fungiert.
Marktauswirkungen
Bridge-Exploits bleiben ein anhaltendes strukturelles Risiko für Cross-Chain-Liquidität, und die ausgehandelte Rückgabe statt einer harten Wiederherstellung – etwa durch White-Hat-Eingriffe oder Validator-Rollback – verdeutlicht, wie dünn kapitalisierte, von der Community betriebene Protokolle ohne Venture-Capital-Unterstützung ihre Incident-Response selbst finanzieren müssen. Verus hat erklärt, der Schwerpunkt nach dem Exploit liege auf der Härtung der Bridge, zusätzlichen Audits und der Entwicklung eines Community-getragenen Plans zum Ausgleich der Verluste. Ob die Belohnung von 2,8 Millionen Dollar zum Referenzpunkt für künftige Angreifer wird, die mit unterfinanzierten Teams verhandeln, wird die nachhaltigere Lesart des heutigen Ergebnisses sein.
Häufig gestellte Fragen
-
Was ist beim Verus-Bridge-Exploit passiert?
Die Verus-Ethereum-Bridge wurde am 18. Mai um 23:55 Uhr UTC kompromittiert. Blockaid schätzte die Verluste auf 11,58 Millionen Dollar, während PeckShield den Abfluss auf 103,6 tBTC, 1.625 ETH und 147.000 USDC zurückführte, die später in etwa 5.402 ETH getauscht wurden.
-
Wie viel hat der Angreifer zurückgegeben und wie viel behalten?
Der Angreifer gab 4.052,4 ETH zurück, rund 8,5 Millionen Dollar, was 75 % der abgezogenen Vermögenswerte entspricht. Er behielt 1.350 ETH, etwa 2,8 Millionen Dollar, als Belohnung im Rahmen des vom Verus-Team vorgeschlagenen Vergleichs ein.
-
Was bot das Verus-Team dem Angreifer im Gegenzug an?
In einem Beitrag auf X am Donnerstag bot Verus an, laufende Ermittlungen einzustellen, keine Anklage zu erheben und auf außergerichtliche Maßnahmen zu verzichten, wenn 4.052,4 ETH innerhalb von 24 Stunden zurückgegeben werden. Das Team sagte zudem eine öffentliche Bestätigung zu, die die einbehaltenen 1.350 ETH als…
-
Hat Verus den Eingang der zurückgegebenen Mittel bestätigt?
Zum Redaktionsschluss hatte das Verus-Team den Eingang der zurückgegebenen 4.052,4 ETH noch nicht förmlich bestätigt. Der Angreifer hat die einbehaltene Belohnung inzwischen auf eine neue Wallet-Adresse überwiesen.
-
Was unternimmt Verus, um die Bridge künftig abzusichern?
Nach dem Exploit konzentriert sich Verus laut eigenen Angaben auf die Härtung der Bridge gegen Schwachstellen, zusätzliche Audits und die Entwicklung eines Community-getragenen Plans zum Ausgleich der Verluste – ohne Venture-Capital-Unterstützung.