Протокол Venus приостановлен после того, как пользователь потерял средства в результате предполагаемой фишинговой атаки

Крупный пользователь Venus Protocol, децентрализованного кредитного протокола, лишился примерно 13,5 миллионов долларов после того, как, по-видимому, подписал вредоносную транзакцию, предоставившую злоумышленнику разрешения на токены, сообщили во вторник компании по блокчейн-безопасности.

В ответ на инцидент Venus приостановил работу своей платформы до завершения расследования. «Мы осведомлены о подозрительной транзакции и активно ведём расследование», — написала команда в X. «Venus в настоящее время приостановлен в соответствии с протоколами безопасности».

PeckShield сообщил, что жертва «одобрила вредоносную транзакцию», позволив адресу «0x7fd…6202a» вывести активы из кошелька. CertiK добавил, что кошелёк вызвал функцию updateDelegate для одобрения злоумышленника перед тем, как средства были выведены, и поделился записью транзакции в BNB Chain.

Кроме того, модераторы Venus Protocol сообщили пользователям в сообщении в Telegram, что сам протокол «остался нетронутым», хотя инженеры перепроверяют это для уверенности. «Для уточнения: Venus Protocol НЕ был взломан. Атаке подвергся пользователь. Смарт-контракт в безопасности», — поделился аккаунт проекта в X на фоне слухов о том, что была взломана сама платформа.

Запущенный в 2020 году, Venus Protocol — это децентрализованный кредитный рынок, наиболее известный своим развертыванием в BNB Chain и дополнительными интеграциями в Ethereum, opBNB, Arbitrum, Optimism и zkSync. Протокол позволяет пользователям предоставлять залог, брать активы в долг и выпускать стейблкоин VAI, а управление осуществляется через токен XVS. XVS упал на 9% на фоне инцидента, но затем немного восстановился, согласно данным Tradingview.

Предполагаемый вектор атаки повторяет распространённую проблему в DeFi. Фишинговые мошенники обманывают пользователей, заставляя их подписывать разрешения на токены, которые позволяют третьим лицам перемещать активы. После предоставления эти разрешения могут использоваться для вывода средств до тех пор, пока разрешения не будут отозваны. Согласно полугодовому отчёту компании по блокчейн-безопасности CertiK, фишинговые атаки привели к потерям в размере 410 миллионов долларов среди криптопользователей в первой половине 2025 года в 132 инцидентах. В отдельном отчёте Hacken, другой компании по безопасности Web3, оценивается, что потери только от фишинга и схем социальной инженерии за тот же период составили 600 миллионов долларов.