Trader di Venus Protocol perde 30 milioni di dollari a causa di un grave errore, Cyvers conferma

Un drammatico incidente su Venus Protocol ha portato alla perdita di quasi 30 milioni di dollari in asset.

Sebbene inizialmente molti sospettassero un attacco hacker, gli analisti di sicurezza blockchain di Cyvers hanno confermato a BeInCrypto che si è trattato di un errore lato utente, e non di una vulnerabilità del protocollo stesso.

Phishing Scam Costa a un Utente di Venus Protocol 30 Milioni di Dollari, Non un Hack del Protocollo

PeckShield è stata la prima a segnalare l’attività sospetta, notando che un utente di Venus Protocol era stato derubato di circa 27 milioni di dollari dopo essere caduto vittima di una truffa di phishing.

Un utente di @VenusProtocol è stato derubato di circa 27 milioni di dollari in crypto dopo essere caduto in una truffa di #phishing. La vittima ha approvato una transazione malevola, concedendo l’approvazione dei token all’indirizzo dell’attaccante (0x7fd8…202a) per il trasferimento degli asset.

— PeckShieldAlert September 2, 2025

L’attaccante ha ottenuto l’accesso ingannando la vittima ad approvare una transazione malevola, che ha concesso permessi illimitati per trasferire asset dal wallet.

I token rubati includevano circa 19,8 milioni di dollari in vUSDT, 7,15 milioni in vUSDC, 146.000 in vXRP, 22.000 in vETH e persino 285 BTCB, rappresentando quella che gli osservatori hanno descritto come “ricchezza generazionale”.

L’analista DeFi Ignas ha anche commentato, sottolineando che Venus “ha funzionato come previsto” e che l’incidente è derivato dall’attaccante che ha sfruttato autorizzazioni pre-approvate dal wallet compromesso.

“Una sola approvazione sbagliata e boom—sei finito. Questo è il lato oscuro della DeFi: le approvazioni aperte sono potenti, ma anche letali se non si fa attenzione,” ha scritto l’analista Crypto Jargon.

Il sentimento è stato condiviso in tutta la community mentre sono riaffiorati gli avvertimenti. Le migliori pratiche includono la revoca regolare delle approvazioni, evitare link non verificati e utilizzare hardware wallet invece di affidarsi solo a hot wallet.

Cyvers ha confermato ciò in una dichiarazione a BeInCrypto:

“Sì, errore lato utente, non a livello di protocollo,” ha dichiarato Cyvers.

I fondi rubati rimangono non scambiati, detenuti nell’indirizzo del contratto dell’attaccante.

“Questo incidente dimostra che anche utenti DeFi esperti rimangono vulnerabili a schemi di phishing sofisticati. Ingannando la vittima nel concedere approvazioni di token, l’attaccante è riuscito a drenare 27 milioni di dollari da Venus Protocol in una sola transazione,” ha dichiarato Hakan Unal, Senior Security Operation Lead di Cyvers.

In questo contesto, Unal ha messo in guardia gli utenti dal cliccare o approvare qualsiasi cosa su siti web sconosciuti, poiché i phisher spesso si spacciano per siti ufficiali e apportano sottili modifiche ai domini.

Alla domanda sulle speranze di recupero, l’esperto di sicurezza ha indicato che, sebbene le bug bounty siano un’opzione, i servizi di mixing rendono quasi impossibile il recupero degli asset.

“Sebbene gli utenti possano offrire una bug bounty on-chain, nella maggior parte dei casi i fondi rubati finiscono nei mixer,” ha aggiunto Unal.

Exploit su Bunni DEX Drena 8,4 Milioni di Dollari

In un incidente separato, Bunni, un exchange decentralizzato (DEX) costruito su Uniswap v4, ha subito un exploit che ha drenato oltre 8,4 milioni di dollari tra Ethereum e UniChain.

A differenza del caso Venus, questa volta si è trattato di una vera vulnerabilità a livello di protocollo.

Bunni ha annunciato di aver sospeso tutte le funzioni degli smart contract su tutte le reti mentre il suo team indaga:

“L’app Bunni è stata colpita da un exploit di sicurezza. Come precauzione, abbiamo sospeso tutte le funzioni degli smart contract su tutte le reti,” ha confermato la rete.

Secondo GoPlus Security, l’exploit è derivato da debolezze nella funzione personalizzata di distribuzione della liquidità (LDF) di Bunni.

Victor Tran, sviluppatore blockchain, ha spiegato come l’attaccante abbia manipolato la curva con trade di dimensioni attentamente calcolate.

1. Bunni è un liquidity hook che funziona sopra UniswapV4. Invece di usare il sistema normale di UniswapV4, Bunni ha la sua curva di liquidità chiamata LDF (Liquidity Distribution Function). 2. Dopo ogni trade, Bunni controlla se la sua curva LDF è cambiata dall’ultimo trade. Se è così,…

— Victor Tran September 2, 2025

Attivando ripetutamente errori di calcolo durante il ribilanciamento della liquidità, l’exploiter è riuscito a prelevare più token di quanto avrebbe dovuto, svuotando i pool prima di finalizzare l’attacco con due passaggi di swap.

Tran ha sottolineato che, mentre il hook di Bunni è stato compromesso, Uniswap v4 stesso è rimasto inalterato.

I due incidenti evidenziano il delicato equilibrio tra innovazione e sicurezza nella finanza decentralizzata (DeFi).

La perdita di Venus Protocol mette in luce l’elemento umano, dove un solo click può cancellare una fortuna. Nel frattempo, l’exploit di Bunni rivela come i difetti di precisione nei meccanismi innovativi possano esporre la liquidità.

In un mercato dove sono in gioco miliardi, un solo errore, sia umano che tecnico, può risultare devastante.

Pertanto, mentre il settore DeFi si espande, l’educazione degli utenti e il rigore dei protocolli resteranno fondamentali.