En dramatisk händelse på Venus Protocol har lett till förlust av nästan 30 miljoner USD i tillgångar.
Många misstänkte först en hackning, men blockkedjesäkerhetsanalytiker på Cyvers bekräftade för BeInCrypto att det var ett användarfel, inte en sårbarhet i själva protokollet.
Phishingbedrägeri kostar Venus Protocol-användare 30 miljoner USD, inte ett protokollhack
PeckShield var först med att flagga den misstänkta aktiviteten och noterade att en användare på Venus Protocol hade blivit av med cirka 27 miljoner USD efter att ha fallit offer för en nätfiskebedrägeri.
Angriparen fick tillgång genom att lura offret att godkänna en skadlig transaktion, vilket gav obegränsade rättigheter att överföra tillgångar från plånboken.
De stulna tokenen inkluderade cirka 19,8 miljoner USD i vUSDT, 7,15 miljoner USD i vUSDC, 146 000 USD i vXRP, 22 000 USD i vETH och även 285 BTCB, vilket observatörer beskrev som “generationsrikedom”.
Defi-analytikern Ignas kommenterade också, noterade att Venus i sig “fungerade som avsett” och att händelsen berodde på att angriparen utnyttjade förgodkända auktorisationer från den komprometterade plånboken.
“Ett dåligt godkännande och boom—du är klar. Det är den mörka sidan av DeFi: öppna godkännanden är kraftfulla, men också dödliga om du inte är försiktig,” skrev analytikern Crypto Jargon.
Samma känsla delades i hela communityn när varningar återkom om bästa praxis: att regelbundet återkalla godkännanden, undvika overifiede länkar och använda hårdvaruplånböcker istället för att enbart förlita sig på heta plånböcker.
Cyvers bekräftade detta i ett uttalande till BeInCrypto:
“Ja, användarfel, inte på protokollnivå,” förklarade Cyvers.
De stulna medlen är fortfarande oswapade och hålls i angriparens kontraktsadress.
“Denna incident visar att även erfarna DeFi-användare är sårbara för sofistikerade nätfiskescheman. Genom att lura offret att ge token-godkännanden kunde angriparen tömma 27 miljoner USD från Venus Protocol i en enda transaktion,” sa Hakan Unal, Senior Security Operation Lead på Cyvers.
Bunni DEX-exploatering dränerar 8,4 miljoner USD
I en separat incident drabbades Bunni, en decentraliserad börs (DEX) byggd på Uniswap v4, av en exploatering som tömde över 8,4 miljoner USD över Ethereum och UniChain.
Till skillnad från Venus-fallet var detta en verklig sårbarhet på protokollnivå.
Bunni meddelade att de hade pausat alla smarta kontraktsfunktioner över nätverken medan deras team undersöker:
“Bunni-appen har påverkats av en säkerhetsexploatering. Som en försiktighetsåtgärd har vi pausat alla smarta kontraktsfunktioner på alla nätverk,” bekräftade nätverket .
Enligt GoPlus Security härstammade exploateringen från svagheter i Bunnis anpassade Liquidity Distribution Function (LDF).
Victor Tran, en blockkedjeutvecklare, förklarade hur angriparen manipulerade kurvan med noggrant storleksanpassade affärer.
Genom att upprepade gånger utlösa felberäkningar under likviditetsomfördelning kunde exploatören ta ut fler token än de borde ha, tömma pooler innan de avslutade attacken med två swap-steg.
Tran betonade att medan Bunnis hook komprometterades, förblev Uniswap v4 själv opåverkad.
De två incidenterna belyser den sköra balansen mellan innovation och säkerhet i decentraliserad finans (DeFi).
Venus Protocols förlust belyser den mänskliga faktorn, där ett enda klick kan radera förmögenheter. Samtidigt avslöjar Bunnis exploatering hur precisionens brister i nya mekanismer kan exponera likviditet.
På en marknad där miljarder står på spel kan ett misstag, vare sig mänskligt eller tekniskt, visa sig förödande.
Därför, när DeFi-sektorn expanderar, kommer användarutbildning och protokollnoggrannhet att förbli avgörande.
