En dramatisk hændelse på Venus Protocol har resulteret i tabet af næsten 30 millioner dollars værd af aktiver.
Mens mange først mistænkte et hack, bekræftede blockchain-sikkerhedsanalytikere hos Cyvers til BeInCrypto, at det var en brugerfejl og ikke en sårbarhed i selve protokollen.
Phishing-svindel koster Venus Protocol-bruger 30 millioner dollars, ikke et protokol-hack
PeckShield var de første til at markere den mistænkelige aktivitet og bemærkede, at en Venus Protocol-bruger var blevet tømt for cirka 27 millioner dollars efter at være blevet offer for et phishing-angreb.
Angriberen fik adgang ved at narre offeret til at godkende en ondsindet transaktion, som gav ubegrænsede tilladelser til at overføre aktiver fra wallet.
De stjålne tokens omfattede omkring 19,8 millioner dollars i vUSDT, 7,15 millioner dollars i vUSDC, 146.000 dollars i vXRP, 22.000 dollars i vETH og endda 285 BTCB, hvilket observatører beskrev som “generationsrigdom”.
Defi-analytiker Ignas kommenterede også, og bemærkede, at Venus selv “fungerede som forventet”, og at hændelsen opstod, fordi angriberen udnyttede forudgodkendte autorisationer fra den kompromitterede wallet.
“En dårlig godkendelse og boom—så er du færdig. Det er den mørke side af DeFi: åbne godkendelser er kraftfulde, men også dødelige, hvis du ikke er forsigtig,” skrev analytiker Crypto Jargon.
Stemningen blev gentaget i hele fællesskabet, da advarsler om bedste praksis dukkede op igen: regelmæssigt at tilbagekalde godkendelser, undgå uverificerede links og bruge hardware wallets i stedet for kun at stole på hot wallets.
Cyvers bekræftede dette i en erklæring til BeInCrypto:
“Ja, brugerfejl, ikke på protokolniveau,” udtalte Cyvers.
De stjålne midler forbliver uswappede, holdt i angriberens kontraktadresse.
“Denne hændelse viser, at selv erfarne DeFi-brugere forbliver sårbare over for sofistikerede phishing-ordninger. Ved at narre offeret til at give token-godkendelser, var angriberen i stand til at tømme 27 millioner dollars fra en Venus Protocol i en enkelt transaktion” sagde Hakan Unal, Senior Security Operation Lead hos Cyvers.
Bunni DEX exploit dræner $8,4 millioner
I en separat hændelse led Bunni, en decentraliseret børs (DEX) bygget på Uniswap v4, et angreb, der tømte over 8,4 millioner dollars på tværs af Ethereum og UniChain.
I modsætning til Venus-sagen var dette en reel sårbarhed på protokolniveau.
Bunni annoncerede, at de havde sat alle smart contract-funktioner på pause på tværs af netværk, mens deres team undersøger:
“Bunni-appen er blevet påvirket af et sikkerhedsangreb. Som en forholdsregel har vi sat alle smart contract-funktioner på pause på alle netværk,” bekræftede netværket.
Ifølge GoPlus Security stammede angrebet fra svagheder i Bunnis tilpassede Liquidity Distribution Function (LDF).
Victor Tran, en blockchain-udvikler, forklarede, hvordan angriberen manipulerede kurven med omhyggeligt tilpassede handler.
Ved gentagne gange at udløse fejlberegninger under likviditetsrebalancering var angriberen i stand til at trække flere tokens, end de burde have, og tømte puljer, før de afsluttede angrebet med to swap-trin.
Tran understregede, at mens Bunnis hook blev kompromitteret, forblev Uniswap v4 selv upåvirket.
De to hændelser fremhæver den skrøbelige balance mellem innovation og sikkerhed i decentraliseret finans (DeFi).
Venus Protocols tab fremhæver det menneskelige element, hvor et enkelt klik kan slette formuer. Samtidig afslører Bunnis angreb, hvordan præcisionsfejl i nye mekanismer kan udsætte likviditet.
På et marked, hvor milliarder er på spil, kan en enkelt fejl, uanset om den er menneskelig eller teknisk, vise sig at være ødelæggende.
Derfor, efterhånden som DeFi-sektoren udvider sig, vil brugeruddannelse og protokolstringens forblive afgørende.
