Драматичний інцидент на Venus Protocol призвів до втрати активів на суму майже 30 мільйонів доларів.
Хоча багато хто спочатку підозрював злом, аналітики безпеки блокчейну в Cyvers підтвердили BeInCrypto, що це була помилка користувача, а не вразливість у самому протоколі.
Фішингове шахрайство обійдеться користувачу Venus Protocol у $30 мільйонів, а не злом протоколу
PekShield спочатку позначив підозрілу активність, зазначивши, що користувач Venus Protocol отримав приблизно 27 мільйонів доларів після того, як став жертвою фішингового шахрайства.
Зловмисник отримав доступ, обманом змусивши жертву схвалити шкідливу транзакцію, що давало необмежені дозволи на переказ активів з гаманця.
Серед викрадених токенів було близько 19,8 мільйона доларів у vUSDT, 7,15 мільйона доларів у vUSDC, 146 000 доларів у vXRP, 22 000 доларів у vETH і навіть 285 BTCB, що представляють те, що спостерігачі описали як «багатство поколінь».
Аналітик Defi Ігнас також втрутився, зазначивши , що сама Venus «працювала так, як було задумано», і що інцидент стався через те, що зловмисник скористався попередньо схваленими дозволами зі скомпрометованого гаманця.
“Одне невдале схвалення і бум — вам кінець. Це темна сторона DeFi: відкриті схвалення потужні, але також смертельно небезпечні, якщо ви не будете обережні», — написав аналітик Crypto Jargon.
Ці настрої знайшли відгук у всій громаді, коли попередження знову з’явилися. Найкращі практики включають регулярне відкликання схвалень, уникнення неперевірених посилань і використання апаратних гаманців замість того, щоб покладатися виключно на гарячі гаманці.
Cyvers підтвердив це в заяві для BeInCrypto:
«Так, помилка на стороні користувача не на рівні протоколу», — сформулював Сайверс.
Викрадені кошти залишаються необмінними, зберігаються на контрактній адресі зловмисника.
«Цей інцидент показує, що навіть досвідчені користувачі DeFi залишаються вразливими до складних фішингових схем. Обманом змусивши жертву надати схвалення токенів, зловмисник зміг висмоктати 27 мільйонів доларів з протоколу Venus за одну транзакцію», — сказав Хакан Унал, старший керівник операції з безпеки в Cyvers.
Експлойт Bunni DEX витратив $8,4 млн
В окремому інциденті Bunni, децентралізована біржа (DEX), побудована на Uniswap v4, постраждала від експлойту, який виснажив понад 8,4 мільйона доларів через Ethereum і UniChain.
На відміну від випадку з Венерою, це була справжня вразливість на рівні протоколу.
Bunni оголосила, що призупинила всі функції смарт-контрактів у мережах, поки її команда розслідує:
«Додаток Bunni постраждав від експлойту безпеки. Як запобіжний захід ми призупинили всі функції смарт-контрактів у всіх мережах”, – підтвердили в мережі.
За даними GoPlus Security, експлойт виник через слабкі місця в користувальницькій функції розподілу ліквідності (LDF) Bunni.
Віктор Тран, розробник блокчейну, пояснив, як зловмисник маніпулював кривою за допомогою ретельно підібраних угод.
Багаторазово запускаючи прорахунки під час ребалансування ліквідності, експлойтер зміг вивести більше токенів, ніж мав би, спустошуючи пули, перш ніж завершити атаку двома кроками обміну.
Тран підкреслив, що хоча хук Банні був скомпрометований, сама Uniswap v4 залишилася незмінною.
Ці два інциденти підкреслюють крихкий баланс між інноваціями та безпекою в децентралізованих фінансах (DeFi).
Втрата Venus Protocol підкреслює людський фактор, де один клік може стерти багатство. Тим часом експлойт Банні показує, як недоліки точності нових механізмів можуть виявити ліквідність.
На ринку, де на кону стоять мільярди, одна помилка, людська чи технічна, може виявитися руйнівною.
Тому в міру розширення сектора DeFi навчання користувачів і строгість протоколу залишатимуться критично важливими.
