Verus cross-chain bridge를 고갈시켰던 해커가 약 850만 달러 상당의 4,052 이더 (ETH)를 반환하고, 나머지는 협상된 버그 바운티로 보유했다.
베러스 브릿지 해커, 탈취한 ETH 반환
Verus-Ethereum 브릿지 익스플로잇의 공격자는 금요일, 프로젝트 팀 지갑으로 4,052.4 ETH를 전송했다고 블록체인 보안 업체 PeckShield가 확인했다.
이 금액은 탈취된 자금의 약 75%에 해당한다.
익스플로이터는 약 280만 달러 상당의 1,350 ETH를 바운티로 계속 보유했다.
Verus는 그 전날 게시물을 통해, 공격자가 24시간 내에 4,052.4 ETH를 반환하면 남겨둔 ETH를 보상으로 취급하겠다는 제안을 내놓았다. 팀은 또한 공격자가 조건을 이행하면 모든 조사를 중단하겠다고 밝혔다.
이번 회수는 5월 18일 위조된 크로스체인 전송으로 브릿지가 고갈되어, 1,150만 달러 이상이 준비금에서 빠져나간 지 며칠 만에 이뤄졌다.
또 읽어보기: A Six-Year-Old Key Just Cost Polymarket $573K On Its Worst Friday
PeckShield 데이터, 화이트 햇 논쟁 재점화
이번 합의는 디파이 보안 전반에 걸친 논쟁을 다시 불러일으켰다. 일부 개발자들은 현실적인 피해 통제로서 합의된 반환을 지지하는 반면, 비판론자들은 이런 방식이 더 많은 익스플로잇 시도를 부추길 수 있다고 경고한다.
보안 분석가들은, 무엇보다도 자금의 상당 부분이 실제로 돌아왔다는 점에서 베러스 사례가 눈에 띈다고 말한다.
많은 브릿지 익스플로잇은 자산이 믹서로 사라지거나 영구 동결된 채 끝난다.
연구자들을 불안하게 만든 것은 기술적 실패였다. 공격자는 지급 데이터 블롭의 해시를 커밋하면서, 소스 총액을 비워 둔 Verus 측 트랜잭션을 만들어냈고, 브릿지는 그럼에도 불구하고 지급을 수행했다.
보안 업체 Blockaid는 브릿지가 설계상 검증하도록 되어 있던 모든 것을 제대로 검증했다고 밝혔다. 단지, 소스 트랜잭션이 실제 가치로 지급을 뒷받침하는지 여부는 전혀 확인하지 않았을 뿐이라는 것이다.
브릿지 익스플로잇이 규정하는 험난한 2026년
베러스는 올해 이어진 수많은 크로스체인 피해 사례의 또 다른 이름이 됐다. 디파이 해킹 피해액은 4월 누적 6억 3,400만 달러에 도달했으며, 2억 8,000만 달러 규모의 Drift Protocol 해킹과 2억 9,300만 달러 규모의 Kelp 익스플로잇이 그달 정점을 찍었다.
이후 손실은 다소 진정되어, DefiLlama 데이터에 따르면 5월 현재까지 약 3,800만 달러가 도난당한 것으로 나타난다. 그럼에도 해킹은 여전히 대중적 채택을 가로막는 고질적 장애물로 남아 있다.
지난 10년 동안 암호화폐 도난 피해는 기록된 518건의 사건을 통해 170억 달러 이상에 달했으며, 대부분은 베러스를 무너뜨린 검증 격차보다는, 탈취된 개인 키에 기인한 것으로 추적된다.
다음 읽기: Bitcoin Bull Market Still Missing Its Clearest Signals, Analyst Warns