Анатомія зламу кита Venus Protocol

Раніше цього тижня криптовалютний кит Kuan Sun поділився у своєму акаунті X детальним досвідом того, як став жертвою витонченого фішингового нападу.

Ця історія є суворим попередженням для всіх інвесторів, адже він втратив, а потім відновив $13.5 мільйона. Зі зростанням екосистеми цифрових активів зростає і ризик хакерських атак. Як інвесторам запобігти масовим втратам?

Здавалося б, нешкідлива зустріч, яка перетворилася на кошмар

У вівторок фішинговий напад позбавив Kuan Sun, користувача децентралізованої платформи кредитування Venus Protocol, його криптовалюти. Однак завдяки швидкій реакції та співпраці команди Venus Protocol йому вдалося повернути викрадені кошти.

Складна атака почалася у квітні 2025 року на конференції Wanxiang у Гонконзі. Там спільний знайомий познайомив Sun з людиною, яка представилася представником Stack’s Asia Business Development. Такі знайомства є звичними у криптопросторі, і вони додали одне одного в Telegram.

29 серпня так званий “BD” запросив на просту зустріч у Zoom. Sun приєднався із запізненням і помітив, що у кімнаті немає звуку.

На його веб-сторінці з’явилося спливаюче повідомлення: “Ваш мікрофон потребує оновлення.” Збентежений, Sun натиснув кнопку оновлення — фатальна помилка, яка і стала пасткою.

Згодом Sun зрозумів, що хакери діяли не спонтанно. Він сказав, що ця високоспеціалізована атака готувалася з понеділка і була спрямована саме на нього.

Після “оновлення” він почав бачити дивні повідомлення на своєму комп’ютері. Браузер Chrome закривався аномально, і з’являлося повідомлення “Відновити вкладки?”

Не підозрюючи нічого, Sun продовжив свою рутину і зайшов у Venus Protocol через браузер. Там він здійснив виведення коштів — операцію, яку виконував незліченну кількість разів раніше.

Невдовзі після цього його комп’ютер почав працювати повільніше, його акаунт Google був виведений із Chrome, а у гаманці з’явилися дивні, незнайомі транзакції. Він одразу зрозумів, що щось дуже не так.

Аналіз показує, що хакери замінили його часто використовуване розширення Rabby wallet на шкідливу програму. Цю тактику часто використовує Lazarus — сумнозвісна північнокорейська хакерська група.

Отримавши дозвіл на управління гаманцем, вони швидко перевели різні токени, включаючи vUSDC, vETH, vWBETH та vBNB.

Швидке відновлення і ключові уроки

Sun діяв швидко, звернувшись за порадою до фірм з блокчейн-безпеки Peckshield та Slowmist. Він також звернувся за допомогою до команди Venus Protocol.

У результаті Venus Protocol негайно призупинила роботу платформи як запобіжний захід і розпочала розслідування.

Потім вони ініціювали екстрене голосування щодо управління для примусової ліквідації гаманця зловмисника, що дозволило Sun успішно повернути свої $13.5 мільйона.

У четвер Sun поділився своєю історією та основними висновками. Він попередив, що північнокорейські хакери дедалі частіше використовують комбінацію соціальної інженерії, дипфейків і троянів.

У результаті те, що здається легітимною відеоконференцією чи звичайним акаунтом у Twitter, може бути повністю підробленим.

Він особливо порадив користувачам уникати Zoom-посилань від інших і завантажувати плагіни програм лише з офіційних каналів. Також він закликав ніколи не натискати посилання “оновити”, які з’являються у спливаючих вікнах.

Sun висловив подяку команді Venus за їхні швидкі дії, які запобігли подальшій шкоді. Він закликав усіх “завжди підозрювати будь-які запити, які ви отримуєте у повсякденному житті, і завжди реагувати спокійно.”