En dramatisk hendelse på Venus Protocol har resultert i tap av nesten $ 30 millioner i aktiva.
Mens mange først mistenkte et hack, bekreftet blokkjede-sikkerhetsanalytikere hos Cyvers til BeInCrypto at dette var en brukerfeil, ikke en sårbarhet i selve protokollen.
Phishing-svindel koster Venus Protocol-bruker $ 30 millioner, ikke et protokollhack
PeckShield varslet først om den mistenkelige aktiviteten, og bemerket at en Venus Protocol-bruker hadde blitt tappet for omtrent $ 27 millioner etter å ha blitt offer for en phishing-svindel.
Angriperen fikk tilgang ved å lure offeret til å godkjenne en ondsinnet transaksjon, som ga ubegrensede tillatelser til å overføre aktiva fra lommeboken.
De stjålne tokenene inkluderte rundt $ 19,8 millioner i vUSDT, $ 7,15 millioner i vUSDC, $ 146 000 i vXRP, $ 22 000 i vETH, og til og med 285 BTCB, som observatører beskrev som “generasjonsrikdom.”
Defi-analytiker Ignas kommenterte også, og bemerket at Venus selv “fungerte som tiltenkt” og at hendelsen oppsto fra at angriperen utnyttet forhåndsgodkjente autorisasjoner fra den kompromitterte lommeboken.
“En dårlig godkjenning og boom—du er ferdig. Det er den mørke siden av DeFi: åpne godkjenninger er kraftige, men også dødelige hvis du ikke er forsiktig,” skrev analytiker Crypto Jargon.
Følelsen ble gjentatt i fellesskapet da advarsler dukket opp igjen om beste praksis: regelmessig tilbakekalle godkjenninger, unngå uverifiserte lenker, og bruke maskinvarelommebøker i stedet for å stole utelukkende på hot wallets.
Cyvers bekreftet dette i en uttalelse til BeInCrypto:
“Ja, brukerfeil, ikke på protokollnivå,” artikulerte Cyvers.
De stjålne midlene forblir uvekslet, holdt i angriperens kontraktadresse.
“Denne hendelsen viser at selv erfarne DeFi-brukere forblir sårbare for sofistikerte phishing-skjemaer. Ved å lure offeret til å gi token-godkjenninger, var angriperen i stand til å tømme $ 27 millioner fra en Venus Protocol i en enkelt transaksjon,” sa Hakan Unal, Senior Security Operation Lead hos Cyvers.
Bunni DEX exploit tapper $ 8,4 millioner
I en separat hendelse ble Bunni, en desentralisert børs (DEX) bygget på Uniswap v4, utsatt for et angrep som tappet over $ 8,4 millioner på tvers av Ethereum og UniChain.
I motsetning til Venus-saken, var dette en reell sårbarhet på protokollnivå.
Bunni kunngjorde at de hadde stanset alle smartkontraktfunksjoner på tvers av nettverk mens teamet undersøker:
“Bunni-appen har blitt påvirket av et sikkerhetsangrep. Som en forholdsregel har vi stanset alle smartkontraktfunksjoner på alle nettverk,” bekreftet nettverket bekreftet.
I følge GoPlus Security stammet utnyttelsen fra svakheter i Bunnis tilpassede Liquidity Distribution Function (LDF).
Victor Tran, en blokkjedeutvikler, forklarte hvordan angriperen manipulerte kurven med nøye tilpassede handler.
Ved gjentatte ganger å utløse feilberegninger under likviditetsbalansering, var angriperen i stand til å ta ut flere tokens enn de skulle, og tømte pooler før de avsluttet angrepet med to byttetrinn.
Tran understreket at mens Bunnis hook ble kompromittert, forble Uniswap v4 selv upåvirket.
De to hendelsene fremhever den skjøre balansen mellom innovasjon og sikkerhet i desentralisert finans (DeFi).
Venus Protocols tap fremhever det menneskelige elementet, der et enkelt klikk kan slette formuer. Samtidig avslører Bunnis utnyttelse hvordan presisjonsfeil i nye mekanismer kan eksponere likviditet.
I et marked der milliarder står på spill, kan en feil, enten menneskelig eller teknisk, vise seg å være ødeleggende.
Derfor, ettersom DeFi-sektoren utvides, vil brukerutdanning og protokollnøyaktighet forbli kritisk.