2026年5月18日，Verus-Ethereum跨链桥的以太坊侧合约被攻破，桥上托管的 ETH、USDC、tBTC 等资产在短时间内被转走，综合损失被估算在约 1158 万美元量级。随之而来的不是技术公告，而是一记“急刹车”：Verus 网络宣布暂停运行，大部分区块生产节点下线，链上突然安静下来，社区却陷入了对资金去向和网络前景一无所知的紧绷状态。项目方很快放出橄榄枝——公开表示只要攻击者归还被盗资产，就愿意以漏洞赏金的形式予以补偿，同时不得不在同一份声明里提醒用户，任何借“赔付”“补偿计划”之名主动上门的人，极大概率只是趁火打劫的骗子。巧合的是，就在前一天，Adshares 跨链桥同样遭遇攻击，约 62.8 万美元资金被盗，之后攻击者向其项目方部署地址退回了 256 枚 ETH，约占被盗金额的 86%，这一“谈判后退回资金”的先例被不少人视为可以被复制的处置路径，而 Verus 悬赏能否把 1158 万美元请回桥上，成了这场危机中的最大未知数。

以太坊侧合约被打穿：Verus按下暂停键

5 月 18 日，矛头直指 Verus-Ethereum 跨链桥的以太坊侧合约。原本用于跨链的 ETH、USDC、tBTC 等资产被从合约中连续转出，流向攻击者控制的地址，锁仓被迅速掏空，综合损失约 1158 万美元，在今年一系列跨链事件中已算是体量靠前的一次。对于用户而言，留在桥上的资产在几笔交易之间化为乌有，跨链“安全通道”一夕之间变成了出血口。

异常被发现后，Verus 选择了最激烈的刹车方式：宣布网络暂停，大部分区块生产节点下线，通过“全网急停”来阻断风险继续外溢。官方将事故初步归因于跨链合约存在安全漏洞，但截至目前尚未就具体技术细节给出经多方验证的公开说明，这也意味着外界只能大致判断问题集中在跨链信息验证环节的薄弱设计，而难以精确定位被利用的缺口。在技术原因尚未彻底厘清之前，这种“合约被打穿、网络被迫停摆”的画面，本身就足以动摇用户对 Verus 跨链安全性的信心。

漏洞悬赏开价：把黑客变成白帽？

在暂停网络、承认跨链合约被打穿之后，Verus 给出的下一步动作不是强硬追击，而是公开抛出条件：如果攻击者归还被盗资产，项目方愿意支付漏洞赏金。声明里一方面严词谴责攻击，一方面又为对方预留“白帽式”体面退场的走廊，这种看似矛盾的姿态，本质上是一场博弈——Verus 用公开的赏金承诺告诉攻击者：在链上资金可追踪、变现渠道有限的前提下，继续抱着 1158 万美元级别的赃物并不一定是收益最高的决策，转而“洗白”为白帽，反而可能是长期风险最小的选项。

这种“事后悬赏换回资金”的路径，在跨链桥和 DeFi 攻击中已经被多次采用，最近一次典型案例就是前一日的 Adshares 跨链事件：据 PeckShield 监测，攻击者最终向项目方部署地址退回了 256 枚 ETH，约占被盗资金的 86%，外界普遍将其视为谈判与悬赏组合拳缓解损失的样本。也正因为有这样的前车之鉴，Verus 此次选择迅速给出赏金提议，希望用同样的剧本把对手从“黑帽”拉回到可对话对象。不过截至目前，尚无公开信息显示 Verus 攻击者与项目方建立沟通或接受条件，资金也没有回流链上。对社区而言，悬赏方案在一定程度上缓冲了情绪，证明团队没有躺平，但在资金尚未追回、技术原因也未完全披露的当下，这更像是一场对攻击者理性程度的公开下注，难以真正修复外界对 Verus 跨链安全性的信心。

前一天被黑退回86%成样本

就在 Verus 被攻击的前一天，另一条跨链桥已经给出了一个极具戏剧性的“前车之鉴”。2026 年 5 月 17 日，Adshares 跨链桥遭遇攻击，初步估算损失约 62.8 万美元；但据 PeckShield 监测，事后攻击者又向 Adshares 项目方的部署地址退回了 256 枚 ETH，约占被盗资金的 86%。Adshares 随后将这笔回流资金视作与攻击者“和解”的结果，外界也普遍将其归类为一次通过谈判与悬赏模式来缓解损失的案例，项目方在公开信息中并未延展更多关于对攻击者追责的细节。

也正因为 Adshares 的“退钱换赏金”在 Verus 事件爆发前刚刚完成一个闭环，它几乎自然而然地被拿来当作 Verus 当前谈判策略的现实参照物：一边是同样因跨链桥漏洞遭遇被黑，一边是刚刚通过退回大部分资金的方式止血，给了围观者一个清晰的心理样本——如果前一天有人 86% 地退回了钱，那么今天 Verus 抛出的赏金条件，是否也有机会换来类似的回流。在更广泛的跨链桥团队视角里，这样的先例一方面提供了一个看得见的操作模板，强化了“及时抛出和解与悬赏条件、尽量在链上追回资产”的应对预期，另一方面也让围绕攻击后谈判的市场想象被迅速具体化，未来每一次跨链桥被黑时，社区与攻击者都会本能地把谈判筹码对照到 Adshares 这类案例上，判断自己还能要回多少资产。

攻击未停诈骗登场：受害者再被盯上

就在外界把目光投向“攻击者会不会学 Adshares 退钱”时，另一条攻击路径已经悄悄展开：冒充官方的社交工程骗局。Verus 在通报跨链桥被盗的同时，罕见地把反诈骗提示写到了最前排，明确警告社区：任何在公开频道、私信或其他场合，自称代表 Verus 团队或社区，并提供“赔付”“补偿计划”的人，都是诈骗者。官方要求用户不要与这类自称“协助退款”的账号互动，以免在资产尚未追回之前，又在链下把最后的防线拱手让出。

这并不是孤立现象。过往多起 DeFi 和跨链安全事件证明，一旦“被黑”“赔付”等关键词在社区迅速扩散，攻击信息与用户恐慌情绪之间就会出现一个时间差，而钓鱼者和假冒项目方，正是靠抢占这个时间差集中出手——伪造“登记受害者信息”的表单、伪装成“官方空投补偿”的链接、打着“协助退款”名义索要授权签名，往往在事故发生后的短时间内成批出现。对普通用户而言，这类场景下的自保底线其实非常清晰：与资金相关的操作只通过已知的官方公开渠道完成，对任何主动上门添加好友、发送链接、要求连接钱包、索要私钥或助记词的“工作人员”一律默认是诈骗，不因“赔付”“赏金”“退款”等字眼而降低警惕。在技术漏洞尚未完全查清、资金走向仍不明朗的阶段，守住这条底线，往往决定了一次系统性事故会不会演变成无法挽回的个人灾难。

跨链桥频频失守后还敢放心跨链吗

把时间轴拉回到 5 月中旬，Adshares 在 17 日被攻破、部分资金在谈判后退回，第二天 Verus 跨链桥就因安全漏洞损失约 1158 万美元，2026 年以来多起类似事件被公开报道，这两起只是最新一组紧挨着发生的样本。跨链桥本质上承担着不同链之间资产映射和锁仓的职责，一旦合约被攻破，往往就是高额损失加长时间服务中断，如今随着桥上资产体量和系统复杂度抬升，安全审计的质量、事前的应急预案设计，以及事后的信息披露和沟通策略，都被放到放大镜下检视。接下来值得持续观察的变量包括：Verus 被盗资金能否像 Adshares 一样出现哪怕部分追回、项目方是否拿出经得起安全机构和社区交叉验证的技术复盘报告，以及这一连串事故会不会继续侵蚀用户对跨链产品的整体信任。在这些关键问题尚无明确答案、跨链桥结构性风险未出现可验证下降之前，无论是用户发起跨链操作，还是项目方上新跨链方案，都必须默认这是一个高风险环节，用更高的警惕和更严格的安全边界来对待每一次跨链签名。

加入我们的社区，一起来讨论，一起变得更强吧！
官方电报（Telegram）社群：https://t.me/aicoincn
AiCoin中文推特：https://x.com/AiCoinzh
AiCoin链上：https://aicoin.com/hyperliquid
AiCoin专属Hyperliquid福利：https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利：https://www.asterdex.com/zh-CN/referral/9C50e2

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。