Venus Protocolのトレーダーが重大なミスで3,000万ドルを失う、Cyversが確認

Venus Protocolで劇的な事件が発生し、約3,000万ドル相当の資産が失われました。

多くの人が当初はハッキングを疑いましたが、CyversのブロックチェーンセキュリティアナリストはBeInCryptoに対し、これはプロトコル自体の脆弱性ではなく、ユーザー側のミスであることを確認しました。

Venus Protocolユーザーがフィッシング詐欺で3,000万ドルを失う、プロトコルハックではない

PeckShieldは最初にこの不審な活動を指摘し、Venus Protocolのユーザーがフィッシング詐欺の被害に遭い、約2,700万ドルを失ったことを明らかにしました。

@VenusProtocolのユーザーが#phishing詐欺に騙され、約2,700万ドル相当の暗号資産を失いました。被害者は悪意のあるトランザクションを承認し、攻撃者のアドレス（0x7fd8…202a）にトークンの承認を与え、資産の移転を許可しました。

— PeckShieldAlert September 2, 2025

攻撃者は、被害者に悪意のあるトランザクションを承認させることでウォレットから資産を無制限に移転できる権限を獲得しました。

盗まれたトークンには、約1,980万ドル相当のvUSDT、715万ドル相当のvUSDC、14.6万ドル相当のvXRP、2.2万ドル相当のvETH、さらに285 BTCBが含まれており、観察者たちはこれを「世代を超える富」と表現しました。

DefiアナリストのIgnasも見解を述べ、Venus自体は「意図通りに機能していた」とし、この事件は攻撃者が侵害されたウォレットの事前承認を悪用したことに起因すると指摘しました。

「一度でも悪い承認をしてしまえば、終わりです。これがDeFiの暗い側面です。オープンな承認は強力ですが、注意しなければ致命的にもなります」とアナリストのCrypto Jargonは述べています。

この意見はコミュニティ全体でも共感を呼び、警告が再び強調されました。ベストプラクティスとしては、定期的な承認の取り消し、未確認リンクの回避、ホットウォレットだけでなくハードウェアウォレットの利用が推奨されています。

CyversもBeInCryptoへの声明でこれを確認しました：

「はい、ユーザー側のエラーであり、プロトコルレベルの問題ではありません」とCyversは述べました。

盗まれた資金はまだスワップされておらず、攻撃者のコントラクトアドレスに保管されたままです。

「この事件は、経験豊富なDeFiユーザーでさえ巧妙なフィッシング詐欺に脆弱であることを示しています。被害者にトークン承認を与えさせることで、攻撃者はVenus Protocolから2,700万ドルを1回のトランザクションで引き出すことができました」とCyversのSenior Security Operation LeadであるHakan Unalは述べました。

このような背景の中、Unalはユーザーに対し、見知らぬウェブサイトで何かをクリックしたり承認したりしないよう警告しました。フィッシャーはしばしば公式サイトを装い、微妙にドメインを変更してきます。

資金回収の見込みについて尋ねられると、セキュリティ専門家はバグバウンティが選択肢である一方、ミキシングサービスの存在により資産回収はほぼ不可能であると指摘しました。

「ユーザーはオンチェーンでバグバウンティを提供することができますが、ほとんどの場合、盗まれた資金はミキサーに送られてしまいます」とUnalは付け加えました。

Bunni DEXの脆弱性により840万ドルが流出

別の事件では、Uniswap v4上に構築された分散型取引所（DEX）であるBunniが、EthereumとUniChainで合計840万ドル以上を流出させる脆弱性の被害を受けました。

Venusのケースとは異なり、こちらはプロトコルレベルでの本物の脆弱性でした。

Bunniは、チームが調査を進める中、全ネットワークでスマートコントラクト機能を一時停止したことを発表しました：

「Bunniアプリはセキュリティ脆弱性の影響を受けています。予防措置として、全ネットワークでスマートコントラクト機能を一時停止しました」とネットワークは確認しました。

GoPlus Securityによると、この脆弱性はBunni独自のLiquidity Distribution Function（LDF）の弱点に起因しています。

ブロックチェーン開発者のVictor Tranは、攻撃者が慎重にサイズを調整した取引でカーブを操作した方法を説明しました。

1. BunniはUniswapV4の上で動作する流動性フックです。UniswapV4の通常のシステムを使う代わりに、Bunniは独自の流動性カーブLDF（Liquidity Distribution Function）を持っています。2. 各取引後、Bunniは前回の取引からLDFカーブが変化したかどうかを確認します。もし変化していれば、…

— Victor Tran September 2, 2025

攻撃者は流動性リバランス時の計算ミスを繰り返し誘発することで、通常より多くのトークンを引き出し、最終的に2回のスワップステップでプールを枯渇させました。

Tranは、Bunniのフックは侵害されたものの、Uniswap v4自体には影響がなかったことを強調しました。

これら2つの事件は、分散型金融（DeFi）におけるイノベーションとセキュリティの脆弱なバランスを浮き彫りにしています。

Venus Protocolの損失は人的要素を強調し、たった一度のクリックで財産が消える可能性を示しています。一方、Bunniの脆弱性は新しい仕組みの精度の欠陥が流動性を危険にさらすことを明らかにしました。

数十億ドルが動く市場では、人為的ミスであれ技術的ミスであれ、一つのミスが壊滅的な結果を招きます。

したがって、DeFi分野が拡大する中、ユーザー教育とプロトコルの厳格さが今後も重要となります。