Новости ⚖️ Финал «этического взлома»: Verus вернул 75% средств по соглашению с хакером

[MariSokol369]

Крипто-протокол Verus, ставший жертвой масштабной атаки на свой кроссчейн-мост 18 мая 2026 года, успешно завершил переговоры со взломщиком.

В результате хакер вернул 75% украденных средств (4 052,4 ETH), оставив себе 25% в качестве вознаграждения.

Итоги сделки​

• Масштаб возврата: На кошелек проекта поступило активов примерно на 8,5 млн долларов.
• Вознаграждение («баунти»): Оставшиеся 1 350 ETH (около 2,8 млн долларов) хакер сохранил за собой.
• Гарантии безопасности: Команда Verus официально выполнила условия соглашения, предложив «белый билет» в обмен на возврат: они публично подтвердили статус оставшихся средств как премии за найденную уязвимость и отказались от дальнейшего судебного преследования злоумышленника.

Как произошла атака?​

Напомним, 18 мая 2026 года злоумышленник использовал уязвимость в валидации кроссчейн-сообщений моста Verus-Ethereum. В результате манипуляций с данными в смарт-контрактах он вывел активы (tBTC, ETH, USDC), которые в итоге были конвертированы в 5 402 ETH (общая стоимость на момент кражи — 11,4 млн долларов).

Разработчики проекта признали, что взлом стал возможен из-за логической ошибки в проверке входных данных, которую не удалось выявить на этапе аудита. Примечательно, что команда Verus одной из причин успеха хакера назвала потенциальное использование им искусственного интеллекта для поиска эксплойтов, что ставит перед индустрией новые вызовы в области киберзащиты.

Уроки для рынка​

Этот кейс стал очередным подтверждением того, что в современных реалиях DeFi «договорной возврат» часто оказывается для команд единственным способом спасти большую часть средств пользователей:

1. Скорость имеет значение: Условия были выдвинуты и приняты в течение 24 часов.
2. Публичность как гарант: Публичное заявление проекта о том, что средства являются «премией», стало ключевым фактором, убедившим хакера пойти на сделку.
3. Необходимость глубоких аудитов: Проект намерен пересмотреть архитектуру безопасности моста, чтобы исключить повторение подобных «логических» взломов, даже несмотря на то, что ущерб удалось минимизировать.

Резюме: Инцидент с Verus завершился относительно благополучно для пользователей, однако он подчеркивает уязвимость межсетевых мостов к логическим ошибкам. Для индустрии такие сделки остаются «серой зоной», где грань между преступником и «белым хакером» стирается ради спасения ликвидности протокола.

 

[ForumOK]

История показательная: в DeFi уже почти сформировался негласный стандарт, где если эксплойтер готов вернуть 70–90%, его быстро начинают называть “white hat”, даже если изначально это был обычный взлом. По сути это не баунти в классическом смысле, а выкуп за остаток средств пользователей.

Больше всего напрягает не сам факт сделки, а то, насколько часто мосты падают именно на логике, а не на какой-то экзотической криптографии. Аудиты хорошо ловят типовые баги, но вот ошибки в бизнес-логике, валидации сообщений, edge-case сценариях — это до сих пор слабое место почти у всех кроссчейн-решений.

Тезис про ИИ тоже выглядит уже не как фантастика, а как новая реальность. Если атакующий умеет быстро прогонять гипотезы, анализировать контракты и искать нестандартные комбинации вызовов, то окно между деплоем и эксплуатацией будет только сокращаться. Значит, одного аудита “для галочки” вообще недостаточно — нужны формальная верификация, постоянные ревью, bounty-программы и ограничения ущерба на уровне архитектуры.

Для пользователей итог действительно относительно мягкий, но сам кейс плохой в другом: он закрепляет модель “укради побольше, потом сторгуйся на 25%”. И пока это работает, желающих повторить схему меньше не станет.