Трейдер Venus Protocol втратив $30 мільйонів через серйозну помилку, підтверджує Cyvers

Драматичний інцидент на Venus Protocol призвів до втрати майже 30 мільйонів доларів у активах.

Хоча багато хто спочатку підозрював злам, аналітики з безпеки блокчейну Cyvers підтвердили BeInCrypto, що це була помилка з боку користувача, а не вразливість самого протоколу.

Фішингова афера коштувала користувачу Venus Protocol 30 мільйонів доларів, а не злам протоколу

PeckShield першими звернули увагу на підозрілу активність, зазначивши, що користувач Venus Protocol втратив приблизно 27 мільйонів доларів після того, як став жертвою фішингової афери.

Користувача @VenusProtocol було позбавлено приблизно 27 мільйонів доларів у криптовалюті після того, як він став жертвою #фішингової афери. Жертва схвалила шкідливу транзакцію, надавши дозвіл на токени для адреси зловмисника (0x7fd8…202a) для переказу активів.

— PeckShieldAlert September 2, 2025

Зловмисник отримав доступ, обдуривши жертву на схвалення шкідливої транзакції, яка надала необмежені дозволи на переказ активів з гаманця.

Вкрадені токени включали близько 19.8 мільйонів доларів у vUSDT, 7.15 мільйонів доларів у vUSDC, 146 000 доларів у vXRP, 22 000 доларів у vETH та навіть 285 BTCB, що спостерігачі описали як “багатство поколінь”.

Дефі-аналітик Ignas також висловився, зазначивши, що Venus “працював як задумано”, а інцидент стався через те, що зловмисник скористався попередньо схваленими дозволами з компрометованого гаманця.

“Один неправильний дозвіл — і все, ви втратили все. Це темна сторона DeFi: відкриті дозволи потужні, але й смертельно небезпечні, якщо не бути обережним,” — написав аналітик Crypto Jargon.

Цю думку підтримала вся спільнота, і знову з’явилися попередження. Найкращі практики включають регулярне відкликання дозволів, уникнення неперевірених посилань та використання апаратних гаманців замість виключно гарячих гаманців.

Cyvers підтвердили це у заяві для BeInCrypto:

“Так, це помилка користувача, а не на рівні протоколу,” зазначили у Cyvers.

Вкрадені кошти залишаються не обміняними, вони знаходяться на адресі контракту зловмисника.

“Цей інцидент показує, що навіть досвідчені користувачі DeFi залишаються вразливими до складних фішингових схем. Обдуривши жертву на надання дозволу на токени, зловмисник зміг вивести 27 мільйонів доларів з Venus Protocol однією транзакцією,” — сказав Hakan Unal, старший керівник з безпеки у Cyvers.

На цьому тлі Unal застеріг користувачів від натискання чи схвалення чого-небудь на незнайомих сайтах, оскільки фішери часто імітують офіційні сайти та вносять незначні зміни у домени.

На питання щодо надії на відновлення, експерт з безпеки зазначив, що хоча bug bounty є варіантом, сервіси мікшування роблять повернення активів майже неможливим.

“Хоча користувачі можуть запропонувати bug bounty on-chain, у більшості випадків вкрадені кошти потрапляють у мікшери,” додав Unal.

Експлойт Bunni DEX призвів до втрати 8.4 мільйона доларів

В окремому інциденті Bunni, децентралізована біржа (DEX), побудована на Uniswap v4, зазнала експлойту, внаслідок якого було виведено понад 8.4 мільйона доларів на Ethereum та UniChain.

На відміну від випадку з Venus, це була справжня вразливість на рівні протоколу.

Bunni оголосили, що призупинили всі функції смарт-контрактів у всіх мережах, поки команда проводить розслідування:

“Додаток Bunni постраждав від експлойту безпеки. Як запобіжний захід, ми призупинили всі функції смарт-контрактів у всіх мережах,” підтвердила мережа.

За даними GoPlus Security, експлойт виник через слабкі місця у власній функції розподілу ліквідності (LDF) Bunni.

Віктор Тран, розробник блокчейну, пояснив, як зловмисник маніпулював кривою за допомогою ретельно підібраних угод.

1. Bunni — це liquidity hook, який працює поверх UniswapV4. Замість використання стандартної системи UniswapV4, Bunni має власну криву ліквідності під назвою LDF (Liquidity Distribution Function). 2. Після кожної угоди Bunni перевіряє, чи змінилася її крива LDF з моменту останньої угоди. Якщо так,…

— Victor Tran September 2, 2025

Постійно викликаючи помилки під час ребалансування ліквідності, зловмисник зміг вивести більше токенів, ніж мав би, спустошивши пули перед завершенням атаки двома кроками обміну.

Тран підкреслив, що хоча hook Bunni було скомпрометовано, сам Uniswap v4 залишився неушкодженим.

Обидва інциденти підкреслюють крихкий баланс між інноваціями та безпекою у децентралізованих фінансах (DeFi).

Втрати Venus Protocol підкреслюють людський фактор, коли один клік може стерти статки. Тим часом експлойт Bunni показує, як неточності нових механізмів можуть наражати ліквідність на небезпеку.

На ринку, де на кону стоять мільярди, одна помилка — людська чи технічна — може мати катастрофічні наслідки.

Тому, у міру розширення сектора DeFi, освіта користувачів та суворість протоколів залишатимуться критично важливими.