Трейдер Venus Protocol потерял $30 миллионов из-за крупной ошибки, подтверждает Cyvers

Драматический инцидент на Venus Protocol привёл к потере почти 30 миллионов долларов в активах.

Хотя многие изначально подозревали взлом, аналитики по безопасности блокчейна из Cyvers подтвердили BeInCrypto, что это была ошибка со стороны пользователя, а не уязвимость самого протокола.

Фишинговая схема стоила пользователю Venus Protocol 30 миллионов долларов, а не взлом протокола

PeckShield первым отметил подозрительную активность, указав, что у пользователя Venus Protocol было выведено примерно 27 миллионов долларов после того, как он стал жертвой фишинговой атаки.

Пользователь @VenusProtocol потерял около 27 миллионов долларов в криптовалюте после того, как попался на #фишинговую схему. Жертва одобрила вредоносную транзакцию, предоставив разрешение на перевод токенов на адрес злоумышленника (0x7fd8…202a).

— PeckShieldAlert September 2, 2025

Злоумышленник получил доступ, обманув жертву и заставив её одобрить вредоносную транзакцию, которая предоставила неограниченные права на перевод активов из кошелька.

Украденные токены включали около 19,8 миллионов долларов в vUSDT, 7,15 миллионов долларов в vUSDC, 146 000 долларов в vXRP, 22 000 долларов в vETH и даже 285 BTCB, что наблюдатели описали как «богатство нескольких поколений».

Аналитик DeFi Ignas также прокомментировал ситуацию, отметив, что сам Venus «работал как задумано», а инцидент произошёл из-за того, что злоумышленник воспользовался уже одобренными разрешениями с скомпрометированного кошелька.

«Одно неверное одобрение — и всё, вы потеряны. Это тёмная сторона DeFi: открытые разрешения мощны, но также смертельно опасны, если не быть осторожным», — написал аналитик Crypto Jargon.

Это мнение было поддержано сообществом, когда вновь появились предупреждения. Лучшие практики включают регулярную отмену разрешений, избегание непроверенных ссылок и использование аппаратных кошельков вместо исключительно горячих кошельков.

Cyvers подтвердили это в заявлении для BeInCrypto:

«Да, ошибка на стороне пользователя, а не на уровне протокола», — пояснили в Cyvers.

Украденные средства остаются не обмененными, они хранятся на контрактном адресе злоумышленника.

«Этот инцидент показывает, что даже опытные пользователи DeFi остаются уязвимыми к сложным фишинговым схемам. Обманув жертву и заставив её предоставить разрешения на токены, злоумышленник смог вывести 27 миллионов долларов из Venus Protocol одной транзакцией», — сказал Hakan Unal, старший руководитель отдела безопасности в Cyvers.

На этом фоне Unal предостерёг пользователей от нажатия или одобрения чего-либо на незнакомых сайтах, поскольку фишеры часто выдают себя за официальные сайты и делают незаметные изменения в доменах.

На вопрос о надежде на возврат средств эксперт по безопасности отметил, что хотя баг-баунти возможны, миксеры делают возврат активов практически невозможным.

«Хотя пользователи могут предложить баг-баунти в сети, в большинстве случаев украденные средства оказываются в миксерах», — добавил Unal.

Эксплойт Bunni DEX вывел 8,4 миллиона долларов

В отдельном инциденте Bunni, децентрализованная биржа (DEX), построенная на Uniswap v4, подверглась эксплойту, в результате которого было выведено более 8,4 миллиона долларов в Ethereum и UniChain.

В отличие от случая с Venus, здесь имела место настоящая уязвимость на уровне протокола.

Bunni объявила, что приостановила все функции смарт-контрактов во всех сетях, пока команда проводит расследование:

«Приложение Bunni пострадало от эксплойта безопасности. В качестве меры предосторожности мы приостановили все функции смарт-контрактов во всех сетях», — подтвердили в сети.

По данным GoPlus Security, эксплойт возник из-за слабых мест в пользовательской функции распределения ликвидности (LDF) Bunni.

Блокчейн-разработчик Victor Tran объяснил, как злоумышленник манипулировал кривой с помощью тщательно рассчитанных сделок.

1. Bunni — это ликвидити-хук, работающий поверх UniswapV4. Вместо использования обычной системы UniswapV4, Bunni использует собственную кривую ликвидности под названием LDF (Liquidity Distribution Function). 2. После каждой сделки Bunni проверяет, изменилась ли её кривая LDF с момента последней сделки. Если да,…

— Victor Tran September 2, 2025

Путём многократного вызова ошибочных вычислений при ребалансировке ликвидности злоумышленник смог вывести больше токенов, чем должен был, опустошив пулы перед завершением атаки двумя шагами обмена.

Tran подчеркнул, что хотя хук Bunni был скомпрометирован, сам Uniswap v4 не пострадал.

Оба инцидента подчёркивают хрупкий баланс между инновациями и безопасностью в децентрализованных финансах (DeFi).

Потери Venus Protocol подчеркивают человеческий фактор, когда один клик может уничтожить целое состояние. В то же время эксплойт Bunni показывает, как недостатки точности новых механизмов могут подвергнуть ликвидность опасности.

На рынке, где на кону стоят миллиарды, одна ошибка — будь то человеческая или техническая — может оказаться разрушительной.

Поэтому по мере расширения сектора DeFi образование пользователей и строгость протоколов останутся критически важными.