Trader Venus Protocol stracił 30 milionów dolarów w wyniku poważnego błędu, potwierdza Cyvers

Dramatyczny incydent na Venus Protocol doprowadził do utraty aktywów o wartości prawie 30 milionów dolarów.

Podczas gdy wielu początkowo podejrzewało atak hakerski, analitycy bezpieczeństwa blockchain z Cyvers potwierdzili dla BeInCrypto, że był to błąd po stronie użytkownika, a nie luka w samym protokole.

Phishing Scam Kosztuje Użytkownika Venus Protocol 30 Milionów Dolarów, a Nie Atak na Protokół

PeckShield jako pierwszy zgłosił podejrzaną aktywność, zauważając, że użytkownik Venus Protocol stracił około 27 milionów dolarów po tym, jak padł ofiarą oszustwa phishingowego.

Użytkownik @VenusProtocol został pozbawiony około 27 milionów dolarów w krypto po tym, jak dał się nabrać na scam #phishing. Ofiara zatwierdziła złośliwą transakcję, przyznając zgodę na transfer tokenów na adres atakującego (0x7fd8…202a).

— PeckShieldAlert September 2, 2025

Atakujący uzyskał dostęp, podstępem nakłaniając ofiarę do zatwierdzenia złośliwej transakcji, która dała nieograniczone uprawnienia do transferu aktywów z portfela.

Skradzione tokeny obejmowały około 19,8 miliona dolarów w vUSDT, 7,15 miliona dolarów w vUSDC, 146 000 dolarów w vXRP, 22 000 dolarów w vETH, a nawet 285 BTCB, co obserwatorzy określili jako „majątek pokoleniowy”.

Analityk DeFi Ignas również zabrał głos, zauważając, że Venus „działał zgodnie z przeznaczeniem”, a incydent wynikał z wykorzystania przez atakującego wcześniej zatwierdzonych autoryzacji z przejętego portfela.

„Jedno złe zatwierdzenie i bum — jesteś skończony. To ciemna strona DeFi: otwarte zatwierdzenia są potężne, ale także śmiertelnie niebezpieczne, jeśli nie jesteś ostrożny” — napisał analityk Crypto Jargon.

To odczucie było szeroko powtarzane w społeczności, gdy pojawiły się kolejne ostrzeżenia. Najlepsze praktyki obejmują regularne cofanie zatwierdzeń, unikanie niezweryfikowanych linków oraz korzystanie z portfeli sprzętowych zamiast polegania wyłącznie na hot walletach.

Cyvers potwierdził to w oświadczeniu dla BeInCrypto:

„Tak, błąd po stronie użytkownika, nie na poziomie protokołu” — wyjaśnił Cyvers.

Skradzione środki pozostają niewymienione, przechowywane na adresie kontraktu atakującego.

„Ten incydent pokazuje, że nawet doświadczeni użytkownicy DeFi pozostają podatni na wyrafinowane schematy phishingowe. Podstępem nakłaniając ofiarę do przyznania zgody na tokeny, atakujący był w stanie wyprowadzić 27 milionów dolarów z Venus Protocol w jednej transakcji” — powiedział Hakan Unal, Senior Security Operation Lead w Cyvers.

W tym kontekście Unal ostrzegł użytkowników przed klikaniem lub zatwierdzaniem czegokolwiek na nieznanych stronach, ponieważ phisherzy często podszywają się pod oficjalne witryny i dokonują subtelnych zmian w domenach.

Zapytany o nadzieje na odzyskanie środków, ekspert ds. bezpieczeństwa wskazał, że choć nagrody za zgłoszenie błędów są opcją, usługi mieszające sprawiają, że odzyskanie aktywów jest prawie niemożliwe.

„Chociaż użytkownicy mogą zaoferować nagrodę za zgłoszenie błędu on-chain, w większości przypadków skradzione środki trafiają do mixerów” — dodał Unal.

Eksploitacja Bunni DEX Pozbawia 8,4 Miliona Dolarów

W osobnym incydencie Bunni, zdecentralizowana giełda (DEX) zbudowana na Uniswap v4, padła ofiarą exploitacji, która doprowadziła do utraty ponad 8,4 miliona dolarów na Ethereum i UniChain.

W przeciwieństwie do przypadku Venus, była to rzeczywista luka na poziomie protokołu.

Bunni ogłosiło, że wstrzymało wszystkie funkcje smart kontraktów na wszystkich sieciach, podczas gdy zespół prowadzi dochodzenie:

„Aplikacja Bunni została dotknięta exploitacją bezpieczeństwa. W ramach środków ostrożności wstrzymaliśmy wszystkie funkcje smart kontraktów na wszystkich sieciach” — potwierdziła sieć.

Zgodnie z informacjami GoPlus Security, exploitacja wynikała ze słabości w niestandardowej funkcji dystrybucji płynności Bunni (LDF).

Victor Tran, deweloper blockchain, wyjaśnił, jak atakujący manipulował krzywą za pomocą starannie dobranych transakcji.

1. Bunni to hook płynnościowy działający na UniswapV4. Zamiast korzystać z normalnego systemu UniswapV4, Bunni ma własną krzywą płynnościową zwaną LDF (Liquidity Distribution Function). 2. Po każdej transakcji Bunni sprawdza, czy jego krzywa LDF zmieniła się od ostatniej transakcji. Jeśli tak, ...

— Victor Tran September 2, 2025

Poprzez wielokrotne wywoływanie błędnych obliczeń podczas równoważenia płynności, exploiter był w stanie wypłacić więcej tokenów, niż powinien, opróżniając pule przed zakończeniem ataku dwoma krokami swap.

Tran podkreślił, że choć hook Bunni został skompromitowany, sam Uniswap v4 pozostał nietknięty.

Oba incydenty podkreślają kruchą równowagę między innowacją a bezpieczeństwem w zdecentralizowanych finansach (DeFi).

Strata Venus Protocol podkreśla czynnik ludzki, gdzie jedno kliknięcie może zniweczyć fortunę. Tymczasem exploitacja Bunni ujawnia, jak precyzyjne błędy nowych mechanizmów mogą narazić płynność.

Na rynku, gdzie stawką są miliardy, jeden błąd — ludzki lub techniczny — może okazać się katastrofalny.

Dlatego wraz z rozwojem sektora DeFi, edukacja użytkowników i rygorystyczność protokołów pozostaną kluczowe.