Verusプロジェクトは、最近の暗号ブリッジエクスプロイトを受け、大部分の資産の奪還に成功した。コミュニティは、攻撃者が4,052.4 ETHを返還したと報告している。これにより、チームは盗まれた資金の約75%を掌握したことになる。現在、開発者たちは分散型金融サービスの復旧に取り組んでいる。それと同時に、この前例のない事件の根本原因についても説明を行っている。
攻撃者への報奨金と停戦合意
Verusによると、攻撃者は残りの1,350 ETHを非公開のアドレスに送金した。攻撃者はこの金額を、主要資産を返還したことへの報奨金として受け取った。さらに、チームは犯人の追跡を今後一切行わないと表明した。また、これ以上の法的調査も断念する方針だ。この決定は、以前公表した交渉条件と完全に一致するものである。その条件では、資産の返還と引き換えに、すべての法的請求を取り下げることが約束されていた。
侵害の根本原因の特定
開発者たちは、複数のソフトウェアバグが連鎖的に組み合わさったことが最終的に侵害の原因となったと認めた。個々の脆弱性は、それぞれ単独では非常に目立たないものだった。しかし、それらが精密に組み合わさることで、極めて巧妙な侵入が可能となった。Verusは、こうした欠陥を事前に発見できたのはベテランのコミュニティメンバーのごく一部に限られると強調した。残念なことに、長年にわたりこのプロジェクトを支えてきたそうした献身的なメンバーたちは、一切の金銭的報酬を受け取っていなかった。
慢性的なセキュリティ資金不足
さらに、コアチームは開発資金の慢性的な不足を指摘した。プロジェクトの関係者は、コミュニティの関心がマーケティング活動に偏りすぎていたと述べた。一方で、コードの監査、バグバウンティプログラム、および追加的な開発者支援は著しく軽視されていた。Verusは、基本的なセキュリティプロトコルへの適切なタイミングでの投資は、実際の損失よりもはるかに安く済んだはずだと強く主張している。結局、今回のエクスプロイトによる実際の金銭的損失は300万ドルを超えた。
サイバーセキュリティ監査機関への警告
また、開発者たちはサイバーセキュリティ企業や独立調査者に対して厳重な警告を発した。今後開催される公開コミュニティフォーラムにおいて、この状況を自己宣伝のために利用しないよう、こうした営利団体に対して注意を促した。当面の最優先事項として、Verusはプロジェクトインフラの完全な復旧を掲げている。何より、暗号資産ブリッジの安全な運用を迅速に再開することを目指している。
翻訳元: https://meterpreter.org/verus-bridge-exploit-funds-returned/
