(120BTC.COm)讯:5月中发生的Verus Ethereum跨链桥攻击事件,在经过数日协商后出现重大进展。攻击者于今日主动归还约4,052ETH,价值约850万美元,占最初被盗5,402ETH(约1,158万美元)的75%。协议方Verus宣布接受协商结果,同意不追究黑客的法律责任,并将剩余的1,350ETH(约280万美元)视为白帽赏金,作为攻击者发现并揭露漏洞的回报。
协商结果与资金归还细节
根据链上资料显示,这笔归还资金已从攻击者地址分批转入Verus官方指定的钱包。双方并未公开完整的谈判细节,但社群普遍相信这是一场由Verus团队主导的「漏洞揭露赏金」式协商。攻击者在社群平台上发表宣告,强调自己并非恶意盗窃,而是希望透过这个行动促使协议重视安全问题,并感谢团队愿意以建设性方式解决。
社群反应两极:典范还是诱因?
然而,Verus社群内部对此结果看法两极。部分成员认为这是DeFi安全史上的典范,透过谈判降低损失、避免冗长诉讼,且最终回收了大部分资金;但也有人批评这等于变相鼓励「先攻击、后谈判」的风气,让黑客能够在保有丰厚报酬的同时全身而退。
回顾:跨链桥攻击的历史轨迹
其实类似模式在跨链桥攻击事件中并非首例。2021年7月,THORChain遭攻击损失约500万美元,攻击者在协议方公开喊话后归还了大部分资金并获得10%赏金。同年8月,Poly Network遭到6.1亿美元的黑客攻击,黑客在社群舆论压力与协议方协商下,最终归还了几乎所有资金,协议方也未提告。这些案例与Verus事件有着相似的轨迹:攻击者并非单纯为了牟利,而是带有「揭露漏洞」的诉求,协议方则以赏金作为诱因促成资金回流。
相较之下,2022年初的Wormhole桥攻击(损失3.2亿美元)与Ronin桥攻击(损失6.2亿美元)则走向完全不同的结局。Wormhole由母公司Jump Crypto全额赔偿,攻击者至今未被抓捕;Ronin则被证实为北韩Lazarus Group所为,资金难以追回,最终仅靠执法单位冻结部分资产。这两起事件凸显了「赏金谈判」并非万灵丹,能否达成和解往往取决于攻击者的身份与动机。
赏金模式:DeFi安全的双面刃
赏金模式在DeFi安全生态中扮演的角色愈发复杂。一方面,它为专案方提供了一个快速止血的工具,特别是在缺乏保险机制的早期阶段,赏金能够有效降低最终损失。另一方面,这种模式也可能产生道德风险,让潜在攻击者认为只要归还大部分资金就能免于刑责,甚至还能赚取可观的赏金。长远来看,DeFi协议仍需回归根本:强化代码审计、部署即时监控与紧急暂停机制,才能从源头减少此类事件的发生。
Verus共同创办人Michael J.Toutonghi在社群中表示,这次事件让他们学到了宝贵的经验,未来将全面提升桥接合约的安全性,并考虑汇入更完善的bug bounty机制,让白帽黑客能够在攻击发生前主动回报漏洞。他强调,协议方的首要目标始终是保护使用者资产,这次的结果虽然不能算完美,但已经是当前情境下的最佳解。
截至发稿时,Verus跨链桥已恢复正常运作,使用者资金安全无虞。这起事件也为加密业界留下了一个值得深思的案例:当攻击者与协议方之间存在谈判空间时,赏金模式能否成为DeFi安全的常态,还是仅仅是治标不治本的权宜之计?
