Der 11,6‑Millionen‑Dollar‑Hack der Verus–Ethereum‑Bridge – und warum der Angreifer den Großteil des Geldes zurückgab

Zu den entwendeten Vermögenswerten gehörten laut Blockchain‑Analysen:

• 103,6 tBTC
• 1.625 ETH
• rund 147.000 USDC

Der Gesamtwert lag bei etwa 11,58 Millionen Dollar zum Zeitpunkt des Angriffs. Danach tauschte der Angreifer die Tokens in etwa 5.402 ETH um und bündelte so die Beute in einem einzigen Asset.

Sicherheitsfirmen wie Blockaid und PeckShield entdeckten den Angriff während seines Ablaufs und warnten Nutzer davor, weiter mit der Bridge zu interagieren.

Die technische Ursache: fehlende Betrags‑Validierung

Untersuchungen zeigen, dass das Problem in der Cross‑Chain‑Verifizierungslogik der Bridge lag. Zwar prüften sowohl die Verus‑ als auch die Ethereum‑Seite bestimmte Aspekte der Nachricht, doch ein kritisches Feld blieb unkontrolliert:

Niemand überprüfte, ob der auf der Quell‑Blockchain eingezahlte Betrag mit der Auszahlung auf Ethereum übereinstimmte.

Das führte zu einer gefährlichen Lücke:

• Die Bridge bestätigte Struktur und Authentizität der Cross‑Chain‑Nachricht.
• Sie prüfte jedoch nicht, ob tatsächlich genügend Vermögenswerte auf der Ausgangskette hinterlegt waren.

Ein Angreifer konnte daher eine formal gültige Nachricht erstellen, die eine deutlich höhere Auszahlung anforderte als ursprünglich eingezahlt worden war.

Sicherheitsforscher beschrieben die Schwachstelle als kleine Logiklücke, die mit wenigen Zeilen Solidity‑Code hätte verhindert werden können.

Wichtig ist auch, was nicht passiert ist: Der Angriff beruhte weder auf gestohlenen privaten Schlüsseln noch auf gebrochener Kryptografie oder einer Signaturumgehung. Es handelte sich ausschließlich um einen Fehler in der Programmlogik.

Wie viel Geld gestohlen wurde – und wie viel zurückkam

Der Angriff zog zunächst Vermögenswerte im Wert von etwa 11,58 Millionen Dollar aus der Bridge‑Liquidität.

Kurz darauf veröffentlichte das Verus‑Team ein Angebot: Wenn der Angreifer den Großteil der Mittel innerhalb kurzer Zeit zurückgibt, darf er einen Teil als Belohnung behalten.

Das Ergebnis der Vereinbarung:

• 4.052,4 ETH zurückgegeben (ca. 8,5 Mio. $)
• 1.350 ETH behalten als vereinbarte Bounty (ca. 2,8 Mio. $)

Damit wurden ungefähr 75 % der gestohlenen Gelder wiederhergestellt.

Warum DeFi‑Projekte mit Hackern verhandeln

Der Verus‑Fall ist kein Einzelfall. In der DeFi‑Branche hat sich eine pragmatische Strategie etabliert: Wenn gestohlene Mittel on‑chain nachvollziehbar sind, versuchen Projekte manchmal, direkt mit Angreifern zu verhandeln.

Typische Elemente solcher Deals sind:

• öffentliche On‑Chain‑Nachrichten an die Angreiferadresse
• ein zeitlich begrenztes Angebot für eine Bug‑Bounty
• Verhandlungen über Social‑Media‑Kanäle

Diese Strategie kann die Rückgewinnungsquote erhöhen. Eine Analyse von DeFi‑Angriffen im Jahr 2024 zeigte, dass über 200 Exploits registriert wurden und etwa 220 Millionen Dollar durch White‑Hat‑Aktionen oder Verhandlungen zurückkehrten – rund 15 % der verlorenen Gelder.

Warum Cross‑Chain‑Bridges besonders anfällig sind

Der Vorfall unterstreicht ein strukturelles Problem der Branche: Bridges müssen Ereignisse auf einer Blockchain überprüfen und anschließend Transaktionen auf einer anderen ausführen.

Jede Schwäche in dieser Verifikationslogik kann dazu führen, dass:

• Token ohne tatsächliche Einlage erzeugt werden oder
• Reserven unberechtigt ausgezahlt werden.

Sicherheitsdaten zeigen, wie groß dieses Risiko inzwischen ist: Bis Mai 2026 wurden bereits acht Bridge‑Hacks mit zusammen rund 328,6 Millionen Dollar Verlust registriert.

Große Liquiditätspools und komplexe Validierungsmechanismen machen Cross‑Chain‑Bridges damit zu einem der attraktivsten Ziele für Angreifer im DeFi‑Ökosystem.

Die zentrale Lehre aus dem Vorfall

Der Hack der Verus–Ethereum‑Bridge zeigt, wie eine scheinbar kleine Programmierlücke einen Angriff in Millionenhöhe ermöglichen kann. Ein einzelner fehlender Validierungsschritt reichte aus, damit eine gefälschte Cross‑Chain‑Nachricht legitime Auszahlungen auslöste.

Gleichzeitig zeigt die Lösung des Falls eine neue Realität in DeFi‑Sicherheitskrisen: Verhandlungen und Bug‑Bounty‑Deals werden zunehmend als Notfallinstrument genutzt, um wenigstens einen Teil der verlorenen Gelder zurückzuholen, während Entwickler die Schwachstellen schließen und das Vertrauen der Nutzer wiederherstellen.