Verus cross-chain bridge를 고갈시킨 해커가 약 850만 달러 상당의 4,052개의 이더 (ETH)를 반환하고, 나머지는 협상된 버그 바운티로 가져가기로 했다.
Verus 브리지 해커, 탈취한 ETH 반환
Verus-Ethereum 브리지 익스플로잇의 공격자는 4,052.4 ETH를 프로젝트 팀 지갑으로 돌려보냈으며, 블록체인 보안 업체 PeckShield가 금요일에 이를 확인했다.
이 금액은 탈취된 자금의 약 75%에 해당한다.
공격자는 약 280만 달러 상당의 1,350 ETH를 버그 바운티로 보유했다.
Verus는 그 하루 전 게시글을 통해 제안을 내놓으며, 공격자가 24시간 이내에 4,052.4 ETH를 반환한다면 남겨둔 ETH는 보상으로 취급하겠다고 밝혔다. 팀은 또한 공격자가 해당 조건을 따를 경우 모든 조사를 중단하겠다고도 약속했다.
이 회수는 5월 18일, 위조된 크로스체인 전송으로 브리지에서 1,150만 달러 이상이 빠져나간 지 며칠 만에 이뤄졌다.
Also Read: A Six-Year-Old Key Just Cost Polymarket $573K On Its Worst Friday
PeckShield 데이터, 화이트햇 논쟁에 불씨를 지피다
이번 합의는 디파이(DeFi) 보안 전반에 걸친 논쟁을 다시 불러일으켰다. 일부 개발자들은 이런 협상된 반환을 현실적인 피해 통제로 지지하는 반면, 비판자들은 이런 방식이 더 많은 익스플로잇 시도를 부추길 수 있다고 경고한다.
보안 분석가들은 무엇보다도 자금이 실제로 돌아왔다는 점에서 Verus 사례가 눈에 띈다고 말한다.
많은 브리지 익스플로잇은 자산이 믹서로 사라지거나 영구적으로 동결된 채 끝난다.
연구자들을 더욱 불안하게 만든 것은 기술적인 실패였다. 공격자는 Verus 측에서, 소스 총액은 비어 있는 상태로 두면서도 지급 데이터 블롭의 해시만 커밋하는 트랜잭션을 생성했고, 브리지는 그럼에도 불구하고 지급을 실행했다.
보안 회사 Blockaid는 브리지가 설계된 대로 검증할 수 있는 모든 것은 검증했다고 설명했다. 다만 지급을 뒷받침하는 원본 트랜잭션에 실제 가치가 있는지 확인하는 절차가 애초에 존재하지 않았던 것이다.
브리지 익스플로잇, 힘겨운 2026년을 상징하다
Verus는 올해 줄지어 발생한 크로스체인 피해 사례의 또 다른 사례가 됐다. 디파이 해킹은 4월까지 누적 6억 3,400만 달러에 달했으며, 이 중 2억 8,000만 달러 규모의 Drift Protocol 침해와 2억 9,300만 달러 규모의 Kelp 익스플로잇이 그달 상단을 차지했다.
DefiLlama 데이터에 따르면 5월 들어서는 지금까지 약 3,800만 달러가 탈취되는 데 그치며 손실 규모가 다소 진정되는 모습이다. 그럼에도 해킹은 여전히 대중적 채택을 가로막는 완고한 장애물로 남아 있다.
지난 10년간, 암호화폐 도둑들은 518건의 보고된 사건에서 170억 달러 이상의 자금을 훔쳐갔으며, 그 대부분은 Verus를 무너뜨린 검증 결함보다는 유출된 개인 키에 기인한 것으로 추적된다.
Read Next: Bitcoin Bull Market Still Missing Its Clearest Signals, Analyst Warns