Verus 橋の攻撃者に返還される盗難資金の 75% を確保し、1350 枚を賞金として保留

PeckShield は 5 月 22 日に監視と確認を行い、Verus-イーサリアム クロスチェーン ブリッジの攻撃者が Verus 公式アドレスへ 4,052.4 枚の ETH（約 850 万ドル）を返還した。被害資産の統合後総量 5,402.4 枚 ETH の 75% に相当する。残り 1,350 枚 ETH（約 285 万ドル、25%）は、脆弱性の賞金として攻撃者のウォレット内に保持されている。

攻撃メカニズム：入力検証の抜け目がいかにして低コストで“千万規模”の資産を盗むのか

Verus 公式およびオンチェーン分析により、今回の攻撃は秘密鍵の漏えい、あるいは署名の偽造によるものではなく、ブリッジのスマートコントラクトである「入力検証の抜け目」の構造的な脆弱性を悪用したものだと確認された。攻撃者は Verus チェーン上で、約 0.01 ドル相当の VRSC という実際に低額な取引を行う一方、クロスチェーン送金の Payload（有効データ）に、実際のロック金額よりもはるかに多いトークン数量を注入した。ブリッジ合約は検証段階で、Payload に申告された金額と、ソースチェーン上で実際にロックされた金額が一致するかを照合できなかったため、だまされてしまい、実際に送金された金額を大きく上回るブリッジ準備資金が解放された。事件発生後、Verus ネットワークは一時的に停止し、ほとんどのブロック生成ノードがさらなる損失を防ぐため、自発的にオフラインとなった。

オンチェーン賞金交渉の確認済み条件と免責の境界線

Verus は 5 月 21 日のオンチェーン提案において、以下の条件を確認しており、これらの条件は以太坊チェーン上に正式な協議として公開記録されている：

返還要求：4,052.4 枚 ETH は 24 時間の締切期限までに指定アドレスへ返還すること

賞金の承認：返還が完了した後、Verus は保留していた 1,350 枚 ETH を正式に合法的な脆弱性賞金として認定する

調査の約束：Verus は現行の調査を停止するため最大限の努力を行い、新たな調査を開始しない

法的約束：Verus は訴訟を提起しない

公開声明：Verus は、保留した資金が賞金の性質であることを公開して認める

重要な境界：上記の約束は、法執行機関、取引所、インフラ提供者、またはその他の第三者には拘束力を持たない——この協議は Verus 公式の立場のみを示すものである

よくある質問

Verus のクロスチェーン ブリッジ入力検証の抜け目の具体的な技術的意味は何ですか？

入力検証の抜け目（Validation Gap）とは、ブリッジ合約がクロスチェーン送金リクエストを処理する際に、Payload 内で申告されたトークン金額と、ソースチェーン上で実際にロックされたトークン金額を照合・検証しないことを指す。これにより攻撃者は、ソースチェーンで金額が非常に低い正規の取引（約 0.01 ドル）を起こしつつ、Payload には実際の値を大きく上回る金額を申告できる。すると送信先チェーン側のブリッジ合約は、Payload 内の数字を誤って信じてしまい、実際の値をはるかに上回る準備資金を解放してしまう。この種の脆弱性は、スマートコントラクトのロジック層における設計上の欠陥であり、Map Protocol Butter Bridge V3.1 の「リトライ・メッセージ検証の抜け目」と同一タイプのブリッジ攻撃パターンに属する。

賞金割合 25% は DeFi のブリッジ攻撃交渉ではよくある取り決めですか？

賞金の 25% という割合は、従来の脆弱性賞金案件では比較的高い水準にあるが、資金が統合されており凍結が難しいブリッジ攻撃の取り返し交渉では珍しくない。この種の状況では、プロジェクト側は通常、賞金と引き換えに攻撃者が自発的に返還することを求める。そうすることで、資金がミキサーやプライバシー手段を通じて完全に消えてしまうのを避けるためだ。先の Renegade 暗池事件でも、同様のオンチェーン交渉の手法が用いられ、攻撃者が一部の資産を保持することを代償として認めることで、資金の大部分を回収することができた。

Verus の協議による約束は、攻撃者を法的追及から有効に保護できますか？

Verus は協議の中で、同社の約束（調査の停止、不提訴）は Verus 側のプロジェクト自体にのみ拘束力があり、法執行機関、取引所、ブロックチェーン基盤インフラ提供者、またはその他の第三者には及ばないと明確に述べている。これは、攻撃者が資金を返還した後も、そのオンチェーン上の行為が法執行機関、取引所の KYC システム、またはオンチェーン分析会社によって追跡される場合、Verus の協議による約束は免責の根拠としては機能しないことを意味する。攻撃者は賞金の取り決めを受け入れる前の 14 時間以内に Tornado Cash を使って初期資金をミキシングしており、それ自体が後続の法執行追跡の難易度を高める可能性もある。