Анатомия взлома кита Venus Protocol

Ранее на этой неделе криптокит Kuan Sun поделился в своем аккаунте X подробным рассказом о том, как стал жертвой изощренной фишинговой атаки.

Эта история служит серьезным предупреждением для всех инвесторов, поскольку он потерял, а затем восстановил 13.5 миллионов долларов. По мере расширения экосистемы цифровых активов возрастает и риск взломов. Как инвесторы могут предотвратить крупные потери?

Казалось бы, безобидная встреча, которая обернулась кошмаром

Во вторник в результате фишинговой атаки у пользователя децентрализованной кредитной платформы Venus Protocol, Kuan Sun, были похищены криптовалютные активы. Однако благодаря оперативной реакции и сотрудничеству команды Venus Protocol ему удалось вернуть украденные средства.

Сложная атака началась в апреле 2025 года на конференции Wanxiang в Гонконге. Там общий знакомый представил Sun человеку, который утверждал, что является представителем Stack по развитию бизнеса в Азии. Такой нетворкинг распространен в криптопространстве, и они добавили друг друга в Telegram.

29 августа так называемый “BD” запросил простую встречу в Zoom. Sun присоединился с опозданием и заметил, что в комнате нет звука.

Всплывающее сообщение на его веб-странице гласило: “Вашему микрофону требуется обновление”. В замешательстве Sun нажал кнопку обновления — фатальная ошибка, которая и стала ловушкой.

Позже Sun понял, что хакеры действовали не спонтанно. По его словам, высоко персонализированная атака готовилась с понедельника и была нацелена именно на него.

После “обновления” он начал замечать странные сообщения на своем компьютере. Браузер Chrome закрывался ненормально, и появлялось сообщение “Восстановить вкладки?”

Ничего не подозревая, Sun продолжил свои обычные действия и зашел в Venus Protocol через браузер. Там он приступил к выводу средств — задаче, которую выполнял уже бесчисленное количество раз.

Вскоре после этого его компьютер начал тормозить, аккаунт Google был выведен из Chrome, а в кошельке появились странные, незнакомые транзакции. Он сразу понял, что что-то пошло очень не так.

Анализ показал, что хакеры заменили его часто используемое расширение Rabby wallet на вредоносную программу. Этот прием часто используется печально известной северокорейской хакерской группой Lazarus.

Получив право управления кошельком, они быстро перевели различные токены, включая vUSDC, vETH, vWBETH и vBNB.

Быстрое восстановление и ключевые уроки

Sun оперативно связался с компаниями по безопасности блокчейна Peckshield и Slowmist за консультацией. Он также обратился за помощью к команде Venus Protocol.

В результате Venus Protocol немедленно приостановила работу платформы в качестве превентивной меры и начала расследование.

Затем они инициировали экстренное голосование по управлению, чтобы принудительно ликвидировать кошелек злоумышленника, что позволило Sun успешно вернуть свои 13.5 миллионов долларов.

В четверг Sun поделился своей историей и основными выводами. Он предупредил, что северокорейские хакеры все чаще используют комбинацию социальной инженерии, дипфейков и троянов.

В результате то, что кажется легитимной видеоконференцией или обычным аккаунтом в Twitter, может оказаться полностью поддельным.

Он особенно рекомендовал пользователям избегать Zoom-ссылок от других людей и скачивать плагины только с официальных каналов. Также он настоятельно советовал никогда не нажимать на ссылки “обновить”, появляющиеся во всплывающих окнах.

Sun выразил благодарность команде Venus за их оперативные действия по предотвращению дальнейшего ущерба. Он призвал всех “всегда относиться с подозрением к любым запросам, которые вы получаете в повседневной жизни, и всегда реагировать спокойно.”