Новости ⚖️ «Хакерская сделка»: протокол Verus вернул 75% похищенных средств

[MariSokol369]

В сфере криптобезопасности зафиксирован очередной случай «договорного возврата» активов.

Хакер, взломавший 18 мая мост между блокчейнами Verus и Ethereum, пошел на сделку с командой проекта и вернул большую часть украденного (около 8 млн долларов).

Условия "баунти"​

Злоумышленник, выведший из смарт-контрактов активы на сумму 11,4 млн долларов (конвертированных в 5 402 ETH), согласился на предложение разработчиков:

• Возврат: Хакер перевел на кошелек проекта 75% от похищенной суммы (4 052,4 ETH).
• Вознаграждение: Оставшиеся 25% (1 350 ETH, или около 2,8 млн долларов) он оставил себе в качестве «баунти» (вознаграждения за найденную уязвимость).
• Условие команды: Взамен разработчики публично подтвердили, что оставляют за хакером 1 350 ETH, и пообещали не возбуждать уголовное преследование и не передавать данные в правоохранительные органы.

Тренд «этических» взломов?​

Этот случай продолжает набирающую популярность практику, когда проекты предпочитают «откупиться» от злоумышленников, чтобы избежать полной потери средств и судебных издержек.

• Пример Renegade.fi: Ранее хакер, атаковавший этот проект на Arbitrum, вернул более 90% средств, мотивируя это желанием «показать уязвимость платформы».
• Риски «белых хакеров»: Однако путь «этического хакера» остается опасным. В марте 2026 года произошел громкий конфликт с проектом Injective, где разработчики в 10 раз урезали обещанную награду за найденную критическую ошибку, спровоцировав публичный скандал.

Резюме: Ситуация с Verus — классический пример того, как DeFi-проекты вынуждены играть по правилам злоумышленников, чтобы минимизировать ущерб. Несмотря на успешный возврат, эта практика вызывает серьезные вопросы у регуляторов, так как по сути легализует «криминальные баунти» как способ разрешения конфликтов в блокчейн-индустрии.

 

[ForumOK]

История максимально показательная: формально это называют баунти, по сути — выкуп после кражи. Когда человек сначала уносит 11+ млн, а потом “великодушно” возвращает 75% в обмен на иммунитет и 25% себе, это не очень похоже на классический bug bounty.

Проблема в том, что рынок сам закрепляет такую модель поведения. Если проектам дешевле договориться с атакующим, чем годами судиться и пытаться что-то отбить через биржи, миксеры и кроссчейн-треки, то у злоумышленников появляется вполне понятная экономика: взломал, поторговался, оставил себе “премию”. Для индустрии это токсичный сигнал.

При этом команду Verus тоже легко понять: вернуть 8 млн сейчас лучше, чем остаться вообще ни с чем. С точки зрения прагматики они сделали то, что минимизирует убыток. С точки зрения принципов и будущих последствий — создали прецедент, который может мотивировать новые “переговорные” атаки.

Отдельно смешно, как терминология все это маскирует. “Этический хакер” обычно сначала сообщает о баге, а не выводит ликвидность в ETH и не торгуется за процент. Тут надо вещи своими именами называть: это не белый хакер, а атакующий, который согласился на частичный возврат.

Дальше регуляторы точно будут смотреть на такие кейсы все жестче. Потому что грань между bug bounty, вымогательством и фактической легализацией части украденного становится слишком тонкой. В DeFi это уже почти отдельный жанр: “украл — договорился — оставил комиссию себе”. И это очень плохая нормализация.