Verus-Bridge-Hacker gibt 8,5 Millionen US-Dollar in ETH zurück, nachdem er sich auf ein 1.350-ETH-Bounty-Deal eingelassen hatte

Der Angreifer hinter dem Verus-Ethereum-Bridge-Exploit hat laut der Blockchain-Sicherheitsfirma PeckShield 4.052 Ether, im Wert von etwa 8,5 Millionen US-Dollar, an die Wallet des Projekts zurücküberwiesen. Der Exploit entleerte die Bridge am 18. Mai durch gefälschte plattformübergreifende Übertragungsanfragen, die Validierungsmechanismen umgingen, wodurch insgesamt 11,58 Millionen US-Dollar an gestohlenen Mitteln entstanden. Der Angreifer behielt 1.350 ETH, ungefähr 2,8 Millionen US-Dollar, als ausgehandelten Bounty als Belohnung in einem Deal, den das Verus-Team mit einer 24-Stunden-Frist vorgeschlagen und bei dem es verpflichtete, rechtliche Schritte zu stoppen, sobald die Bedingungen erfüllt werden.

So liefen der Exploit und die Rückholung ab

Das Exploit-Erkennungssystem von Blockaid hat den laufenden Abfluss bei 11,58 Millionen US-Dollar markiert, und der On-Chain-Analyst Lookonchain bestätigte, dass der Angreifer alle gestohlenen Vermögenswerte in 5.402 ETH umgewandelt hatte. Verus bot die 1.350-ETH-Bounty mit einer 24-Stunden-Frist an und verpflichtete sich, rechtliche Schritte zu stoppen, falls der Exploiter den Forderungen nachkommt. Der Angreifer hielt sich an die Bedingungen und überwies den angegebenen Betrag an die Adresse 0xF9AB…C1A74.

PeckShield bestätigte auf X: „Der @veruscoin Bridge-Exploiter hat 4.052,4 $ETH (~8,5M) an die Team-Adresse: 0xF9AB…C1A74 zurückgegeben. Die zurückgeführten Mittel entsprechen 75% des gestohlenen Gesamts, sodass eine 25%ige Bounty übrig bleibt (1.350 $ETH, ~$2,8M) in der Wallet des Exploiteurs.“

Bounty-Verhandlungen gewinnen in DeFi an Dynamik

Die Rückholung zeigt ein wachsendes Muster in der DeFi-Sicherheit: Direkte Verhandlungen zwischen Protokollen und Exploiteurs als Alternative zur traditionellen Durchsetzung. Verus stellte klar, dass die freiwillige Rückführung von Mitteln spätere gerichtliche oder regulatorische Eingriffe nicht ausschließt, eine rechtliche Unterscheidung, die auch frühere Bounty-Deals betont haben.

Bridge-bezogene Exploits bleiben eine anhaltende Bedrohung. PeckShield-Daten zeigen acht große Bridge-Exploits im Jahr 2026, insgesamt 328,6 Millionen US-Dollar an kumulierten Verlusten. Der Vorfall bei Verus reiht sich in eine wachsende Liste von Bridge-Compromises ein, darunter der Hack von THORChain in diesem Monat im Wert von 10 Millionen US-Dollar sowie der rsETH-Verstoß von April mit 290 Millionen US-Dollar.

Bridge-Verluste sinken im Mai deutlich

DeFi-Hacks stiegen im April auf einen kumulierten Wert von 634 Millionen US-Dollar, dominiert vom 280-Millionen-US-Dollar-Exploit des Drift Protocol und dem 293-Millionen-US-Dollar-Exploit von Kelp. Die Verluste im Mai sind laut DefiLlama bisher deutlich auf ungefähr 38 Millionen US-Dollar gefallen. Angriffe auf plattformübergreifende Bridges machen ungefähr 3,22 Milliarden US-Dollar der über 16,5 Milliarden US-Dollar an gesamten historischen Krypto-Verlusten aus, die die Plattform insgesamt erfasst.

Weiterhin bestehen größere Sicherheitsbedenken

Sicherheitsforscher argumentieren weiterhin, dass plattformübergreifende Verifizierungsmechanismen die schwächste Stelle in der Interoperabilitäts-Infrastruktur bleiben. Das Verus-Team hatte zuvor auf Social Media eine Solana-Developer-Bounty beworben und seine Vorgehensweise im Gegensatz zu „Bridges, die gehackt werden“ dargestellt.

Was als Nächstes passiert

Verus hat bislang keinen formalen Post-Mortem-Bericht zum Exploit veröffentlicht. Die Bridge des Projekts bleibt ausgesetzt, während das Team die zugrunde liegende Verifikationslogik prüft. Ein Zeitplan für die Wiederaufnahme wurde nicht offengelegt.