PeckShield hat am 22. Mai den Angriff auf die Verus- Ethereum -Cross-Chain-Brücke überwacht und bestätigt, dass der Angreifer 4.052,4 ETH an die offizielle Verus-Adresse zurückerstattet hat (im Wert von etwa 8,5 Millionen US-Dollar). Das entspricht 75% der nach der Zusammenlegung der gestohlenen Vermögenswerte insgesamt 5.402,4 ETH. Die verbleibenden 1.350 ETH (im Wert von etwa 2,85 Millionen US-Dollar, 25%) wurden als Bug-Bounty als Belohnung in der Geldbörse des Angreifers zurückbehalten.
Angriffsmechanismus: Wie eine Lücke bei der Eingabevalidierung mit geringen Kosten genutzt wird, um Vermögenswerte im Wert von Millionen zu stehlen
Offizielle Angaben von Verus und On-Chain-Analysen bestätigen, dass es sich bei diesem Angriff nicht um einen Schlüssel-Leak oder um die Fälschung von Signaturen handelt, sondern um eine strukturelle Schwachstellen-Ausnutzung der „Eingabevalidierungs-Lücke“ im Brückenvertrag: Der Angreifer initiiert auf der Verus-Kette eine echte Transaktion mit geringem Wert (ca. 0,01 US-Dollar in VRSC), aber injiziert in der Cross-Chain-Übertragung im Payload (Nutzdatenbereich) eine deutlich höhere Menge an Tokens als das tatsächlich gesperrte Betrag. Der Brückenvertrag validiert im Verifikationsschritt nicht, ob die im Payload angegebene Menge mit der tatsächlich auf der Quellkette gesperrten Menge übereinstimmt. Dadurch wird der Vertrag getäuscht und gibt Brücken-Reserven frei, die deutlich über dem tatsächlichen einzugebenden Betrag liegen. Nach dem Vorfall pausierte das Verus-Netzwerk vorübergehend, und die meisten Block-Produzenten gingen freiwillig offline, um weitere Verluste zu verhindern.
On-Chain-Verhandlungen zur Bug-Bounty: Bestätigte Konditionen und Grenzen der Haftungsfreistellung
Verus bestätigte in seinem On-Chain-Vorschlag vom 21. Mai die folgenden Bedingungen. Diese Bedingungen sind als formale Vereinbarung öffentlich auf der Ethereum-Kette dokumentiert:
Rückforderung: 4.052,4 ETH müssen bis zum Ablauf einer 24-Stunden-Frist an die angegebene Adresse zurückerstattet werden
Bounty-Anerkennung: Nach Abschluss der Rückerstattung wird Verus die einbehaltenen 1.350 ETH offiziell als legitime Bug-Bounty anerkennen
Untersuchungszusage: Verus wird sich nach Kräften bemühen, die laufende Untersuchung zu beenden und die Einleitung neuer Untersuchungen zu vermeiden
Rechtliche Zusage: Verus wird davon absehen, Klage einzureichen
Öffentliche Erklärung: Verus wird öffentlich anerkennen, dass die einbehaltenen Gelder Bug-Bounty-Charakter haben
Wichtige Grenze: Die oben genannten Zusagen binden keine Strafverfolgungsbehörden, Börsen, Infrastruktur-Anbieter oder andere Dritte — diese Vereinbarung spiegelt lediglich die Haltung von Verus offiziell wider
Häufige Fragen
Was ist die konkrete technische Bedeutung der Eingabevalidierungs-Lücke in der Cross-Chain-Brücke von Verus?
Die Eingabevalidierungs-Lücke (Validation Gap) bezeichnet, dass der Brückenvertrag bei der Verarbeitung von Cross-Chain-Übertragungsanfragen nicht prüft, ob die im Payload angegebene Token-Menge mit der tatsächlich auf der Quellkette gesperrten Token-Menge übereinstimmt. Dadurch kann der Angreifer auf der Quellkette eine Transaktion mit einem extrem niedrigen Betrag (ca. 0,01 US-Dollar) auslösen, gleichzeitig jedoch im Payload einen deutlich höheren Betrag als den tatsächlichen Wert deklarieren. Der Brückenvertrag auf der Zielkette verlässt sich auf die Zahlen im Payload und gibt dadurch Reservemittel frei, die weit über dem realen Wert liegen. Diese Art von Schwachstelle fällt in den Bereich von Designmängeln auf Logikebene von Smart Contracts und entspricht dem gleichen Muster von Brückenangriffen wie das „Retry-Message-Validation-Gap“ von Map Protocol Butter Bridge V3.1.
Ist der 25%-Bounty-Anteil in DeFi-Brücken-Angriffsverhandlungen eine gängige Vereinbarung?
Ein 25%-Bounty-Anteil ist in traditionellen Bug-Bounty-Programmen zwar relativ hoch, jedoch nicht ungewöhnlich in Verhandlungen, bei denen versucht wird, bei Brückenangriffen zurückzuholen, wenn die Gelder bereits zusammengeführt wurden und sich kaum einfrieren lassen. In solchen Fällen bieten Projekte den Angreifern typischerweise eine Bug-Bounty als Anreiz, damit sie freiwillig zurückerstatten, um zu vermeiden, dass die Gelder durch Mixa-/Mischdienste oder Privacy-Tools vollständig verschwinden. Auch der frühere Renegade-Dark-Pool-Vorfall verwendete ein ähnliches On-Chain-Verhandlungsmodell: Durch das Ermöglichen, dass der Angreifer einen Teil der Vermögenswerte als Gegenleistung behält, wurde ein Großteil der Rückgewinnung abgeschlossen.
Können die vertraglichen Zusagen von Verus den Angreifer wirksam vor rechtlicher Verfolgung schützen?
Verus erklärt in seiner Vereinbarung ausdrücklich, dass seine Zusagen (Untersuchungen stoppen, keine Klage einreichen) ausschließlich Verus selbst bzw. dem Projektteam gegenüber bindend sind und nicht gegenüber Strafverfolgungsbehörden, Börsen, KYC-Systemen der Börsen, Anbietern von Blockchain-Infrastruktur oder anderen Dritten. Das bedeutet: Selbst wenn der Angreifer nach der Rückerstattung der Gelder weiterhin auf der Kette beobachtbares Verhalten zeigt und von Strafverfolgungsbehörden, Börsen-KYC-Systemen oder On-Chain-Analyseunternehmen nachverfolgt wird, können die Zusagen von Verus nicht als Freistellungsgrund herangezogen werden. Vor der Annahme der Bug-Bounty-Vereinbarung hat der Angreifer zudem in den 14 Stunden zuvor mit Tornado Cash die initialen Gelder gemischt — auch das könnte die anschließende Strafverfolgungsnachverfolgung weiter erschweren.
