Un attaquant lié à l'exploitation du pont Verus-Ethereum du 18 mai a restitué 4 052,4 ETH — environ 8,5 millions de dollars — au portefeuille du projet jeudi, en conservant 1 350 ETH, soit environ 2,8 millions de dollars, à titre de prime dans le cadre d'un règlement proposé par les contributeurs principaux de Verus. La société de sécurité blockchain PeckShield, citant des données onchain, a indiqué que le montant restitué représente 75 % des actifs drainés, tandis que la prime a depuis été déplacée par l'attaquant vers une nouvelle adresse de portefeuille.
Le transfert est intervenu quelques heures après que l'équipe Verus eut rendu publics les termes dans un message publié jeudi sur X, indiquant à l'attaquant que la restitution de 4 052,4 ETH sous 24 heures amènerait la communauté à suspendre les enquêtes en cours, à renoncer aux poursuites judiciaires et à ne pas engager d'action extralégale. L'équipe a également indiqué qu'elle publierait une reconnaissance officielle mentionnant les 1 350 ETH conservés à titre de prime. Verus n'avait pas formellement accusé réception des fonds au moment de la publication.
Pourquoi c'est important
Le pont Verus-Ethereum a été compromis le 18 mai à 23 h 55 UTC, selon une annonce Discord de l'équipe. Blockaid a estimé les pertes totales à 11,58 millions de dollars, tandis que PeckShield a rapporté que le pont avait été drainé de 103,6 tBTC, 1 625 ETH et 147 000 $USDC — des actifs que l'attaquant a ensuite échangés contre 5 402 ETH, d'une valeur d'environ 11,4 millions de dollars. Le partage 75/25 évalue en pratique la tolérance du protocole à environ 2,8 millions de dollars et sa volonté de clore rapidement l'incident, tout en laissant à l'attaquant une prime officiellement nommée qui fonctionne à la fois comme un profit et comme une exonération de responsabilité.
Impact sur le marché
Les exploits de pont restent un risque structurel persistant pour la liquidité inter-chaînes, et la restitution négociée plutôt qu'une récupération ferme — via une intervention white-hat ou un retour en arrière des validateurs — souligne à quel point les protocoles à faible capitalisation, gérés par la communauté et sans financement de capital-risque doivent autofinancer leur réponse aux incidents. Verus a indiqué que sa priorité post-exploit consistait à renforcer le pont, à mener des audits supplémentaires et à élaborer un plan piloté par la communauté pour traiter les pertes. Reste à savoir si la prime de 2,8 millions de dollars deviendra un point de référence pour les futurs attaquants négociant avec des équipes sous-financées : ce sera la lecture la plus durable du résultat d'aujourd'hui.
Questions fréquemment posées
-
Que s'est-il passé lors de l'exploitation du pont Verus ?
Le pont Verus-Ethereum a été compromis le 18 mai à 23 h 55 UTC. Blockaid a estimé les pertes à 11,58 millions de dollars, tandis que PeckShield a retracé le drain à 103,6 tBTC, 1 625 ETH et 147 000 $USDC, échangés ensuite contre environ 5 402 ETH.
-
Combien l'attaquant a-t-il restitué et combien a-t-il conservé ?
L'attaquant a restitué 4 052,4 ETH, soit environ 8,5 millions de dollars, représentant 75 % des actifs drainés. Il a conservé 1 350 ETH, soit environ 2,8 millions de dollars, à titre de prime dans le cadre du règlement proposé par l'équipe Verus.
-
Qu'est-ce que l'équipe Verus a proposé à l'attaquant en échange ?
Dans un message publié jeudi sur X, Verus a proposé de suspendre les enquêtes en cours, de renoncer aux poursuites et de ne pas engager d'action extralégale si 4 052,4 ETH étaient restitués sous 24 heures. L'équipe a également promis une reconnaissance publique désignant les 1 350 ETH retenus comme une prime.
-
Verus a-t-elle confirmé la réception des fonds restitués ?
Au moment de la publication, l'équipe Verus n'avait pas formellement accusé réception des 4 052,4 ETH restitués. L'attaquant a depuis transféré la prime retenue vers une nouvelle adresse de portefeuille.
-
Que fait Verus pour sécuriser le pont à l'avenir ?
Suite à l'exploitation, Verus a indiqué se concentrer sur le renforcement du pont, la réalisation d'audits supplémentaires et l'élaboration d'un plan piloté par la communauté pour traiter les pertes de fonds — sans financement de capital-risque.