攻擊者歸還 4,052 ETH(約 850 萬美元),保留 1,350 ETH 作為賞金——Verus 跨鏈橋劫案以協商收場,但賞金機制是否變相鼓勵「先攻後談」引發討論。
(前情提要:Verus 以太坊跨鏈橋遭攻擊!Blockaid 監測:損失逾 1,158 萬美元)
(背景補充:THORChain 被駭後推出復原提案:千萬美元損失協議自行吸收,銷毀攻擊者 $RUNE)
本文目錄
- 協商結果與資金歸還細節
- 社群反應兩極:典範還是誘因?
- 回顧:跨鏈橋攻擊的歷史軌跡
- 賞金模式:DeFi 安全的雙面刃
5 月中發生的 Verus Ethereum 跨鏈橋攻擊事件,在經過數日協商後出現重大進展。攻擊者於今日主動歸還約 4,052 ETH,價值約 850 萬美元,佔最初被盜 5,402 ETH(約 1,158 萬美元)的 75%。協議方 Verus 宣布接受協商結果,同意不追究駭客的法律責任,並將剩餘的 1,350 ETH(約 280 萬美元)視為白帽賞金,作為攻擊者發現並揭露漏洞的回報。
協商結果與資金歸還細節
根據鏈上資料顯示,這筆歸還資金已從攻擊者地址分批轉入 Verus 官方指定的錢包。雙方並未公開完整的談判細節,但社群普遍相信這是一場由 Verus 團隊主導的「漏洞揭露賞金」式協商。攻擊者在社群平台上發表宣告,強調自己並非惡意盜竊,而是希望透過這個行動促使協議重視安全問題,並感謝團隊願意以建設性方式解決。
社群反應兩極:典範還是誘因?
然而,Verus 社群內部對此結果看法兩極。部分成員認為這是 DeFi 安全史上的典範,透過談判降低損失、避免冗長訴訟,且最終回收了大部分資金;但也有人批評這等於變相鼓勵「先攻擊、後談判」的風氣,讓駭客能夠在保有豐厚報酬的同時全身而退。
回顧:跨鏈橋攻擊的歷史軌跡
其實類似模式在跨鏈橋攻擊事件中並非首例。2021 年 7 月,THORChain 遭攻擊損失約 500 萬美元,攻擊者在協議方公開喊話後歸還了大部分資金並獲得 10% 賞金。同年 8 月,Poly Network 遭到 6.1 億美元的駭客攻擊,駭客在社群輿論壓力與協議方協商下,最終歸還了幾乎所有資金,協議方也未提告。這些案例與 Verus 事件有著相似的軌跡:攻擊者並非單純為了牟利,而是帶有「揭露漏洞」的訴求,協議方則以賞金作為誘因促成資金迴流。
相較之下,2022 年初的 Wormhole 橋攻擊(損失 3.2 億美元)與 Ronin 橋攻擊(損失 6.2 億美元)則走向完全不同的結局。Wormhole 由母公司 Jump Crypto 全額賠償,攻擊者至今未被抓捕;Ronin 則被證實為北韓 Lazarus Group 所為,資金難以追回,最終僅靠執法單位凍結部分資產。這兩起事件凸顯了「賞金談判」並非萬靈丹,能否達成和解往往取決於攻擊者的身份與動機。
賞金模式:DeFi 安全的雙面刃
賞金模式在 DeFi 安全生態中扮演的角色愈發複雜。一方面,它為專案方提供了一個快速止血的工具,特別是在缺乏保險機制的早期階段,賞金能夠有效降低最終損失。另一方面,這種模式也可能產生道德風險,讓潛在攻擊者認為只要歸還大部分資金就能免於刑責,甚至還能賺取可觀的賞金。長遠來看,DeFi 協議仍需回歸根本:強化程式碼審計、部署即時監控與緊急暫停機制,才能從源頭減少此類事件的發生。
Verus 共同創辦人 Michael J. Toutonghi 在社群中表示,這次事件讓他們學到了寶貴的經驗,未來將全面提升橋接合約的安全性,並考慮匯入更完善的 bug bounty 機制,讓白帽駭客能夠在攻擊發生前主動回報漏洞。他強調,協議方的首要目標始終是保護使用者資產,這次的結果雖然不能算完美,但已經是當前情境下的最佳解。
截至發稿時,Verus 跨鏈橋已恢復正常運作,使用者資金安全無虞。這起事件也為加密業界留下了一個值得深思的案例:當攻擊者與協議方之間存在談判空間時,賞金模式能否成為 DeFi 安全的常態,還是僅僅是治標不治本的權宜之計?
📍相關報導📍
Verus 以太坊跨鏈橋遭攻擊!Blockaid 監測:損失逾 1,158 萬美元
THORChain 被駭後推出復原提案:千萬美元損失協議自行吸收,銷毀攻擊者 $RUNE
Poly Network 6.1 億美元被盜後續:駭客全額歸還,協議方懸賞 50 萬美元邀請擔任首席安全顧問
跨鏈橋Garden Finance遭駭!損失約550萬美元,官方提供10%白帽賞金要駭客還錢
Verus 以太坊跨鏈橋遭攻擊!Blockaid 監測:損失逾 1,158 萬美元
