Draamaattinen tapaus Venus Protocolissa on johtanut lähes 30 miljoonan dollarin arvoisten omaisuuserien menetykseen.
Monet epäilivät aluksi hakkerointia, mutta Cyversin lohkoketjun turvallisuusanalyytikot vahvistivat BeInCryptolle, että kyseessä oli käyttäjän tekemä virhe, ei protokollan haavoittuvuus.
Phishing-huijaus maksaa Venus Protocol -käyttäjälle 30 miljoonaa dollaria, ei protokollan hakkerointi
PeckShield huomasi ensimmäisenä epäilyttävän toiminnan ja totesi, että Venus Protocolin käyttäjältä oli viety noin 27 miljoonaa dollaria phishing-huijauksen seurauksena.
Hyökkääjä sai pääsyn huijaamalla uhria hyväksymään haitallisen tapahtuman, joka antoi rajattomat oikeudet siirtää omaisuuseriä lompakosta.
Varastetut tokenit sisälsivät noin 19,8 miljoonaa dollaria vUSDT:ssä, 7,15 miljoonaa dollaria vUSDC:ssä, 146 000 dollaria vXRP:ssä, 22 000 dollaria vETH:ssä ja jopa 285 BTCB:tä, mikä edustaa tarkkailijoiden mukaan “sukupolvien varallisuutta”.
Defi-analyytikko Ignas kommentoi myös asiaa, toden, että Venus itse “toimi odotetusti” ja että tapaus johtui hyökkääjän hyväksikäyttämistä ennakkoon hyväksytyistä valtuutuksista vaarantuneesta lompakosta.
“Yksi huono hyväksyntä ja pam—olet pulassa. Tämä on DeFin pimeä puoli: avoimet hyväksynnät ovat voimakkaita, mutta myös vaarallisia, jos et ole varovainen,” kirjoitti analyytikko Crypto Jargon.
Yhteisö jakoi saman tunteen, kun varoitukset parhaista käytännöistä nousivat esiin: hyväksyntöjen säännöllinen peruuttaminen, vahvistamattomien linkkien välttäminen ja laitteistolompakoiden käyttö pelkkien kuumien lompakoiden sijaan.
Cyvers vahvisti tämän lausunnossaan BeInCryptolle:
“Kyllä, käyttäjän puolen virhe, ei protokollatasolla,” Cyvers ilmaisi.
Varastetut varat ovat edelleen vaihtamatta, ja ne ovat hyökkääjän sopimusosoitteessa.
“Tämä tapaus osoittaa, että jopa kokeneet DeFi-käyttäjät ovat alttiita kehittyneille phishing-huijauksille. Huijaamalla uhria myöntämään token-hyväksynnät, hyökkääjä pystyi viemään 27 miljoonaa dollaria Venus Protocolista yhdellä tapahtumalla,” sanoi Hakan Unal, Cyversin Senior Security Operation Lead.
Bunni DEX -hyökkäys vie 8,4 miljoonaa dollaria
Erillisessä tapauksessa Bunni, hajautettu pörssi (DEX), joka on rakennettu Uniswap v4:lle, kärsi hyökkäyksestä, joka vei yli 8,4 miljoonaa dollaria Ethereumissa ja UniChainissa.
Toisin kuin Venus-tapauksessa, tämä oli todellinen haavoittuvuus protokollatasolla.
Bunni ilmoitti keskeyttäneensä kaikki älysopimustoiminnot verkostoissa, kun sen tiimi tutkii asiaa:
“Bunni-sovellus on kärsinyt turvallisuushyökkäyksestä. Varotoimenpiteenä olemme keskeyttäneet kaikki älysopimustoiminnot kaikissa verkoissa,” verkosto vahvisti.
GoPlus Securityn mukaan hyökkäys johtui Bunnin mukautetun Liquidity Distribution Function (LDF) -toiminnon heikkouksista.
Victor Tran, lohkoketju-kehittäjä, selitti, kuinka hyökkääjä manipuloi käyrää tarkasti mitoitetuilla kaupoilla.
Toistuvasti aiheuttamalla virhelaskelmia likviditeetin tasapainottamisen aikana, hyökkääjä pystyi nostamaan enemmän tokeneita kuin olisi pitänyt, tyhjentäen pooleja ennen hyökkäyksen viimeistelyä kahdella swap-vaiheella.
Tran korosti, että vaikka Bunnin hook oli vaarantunut, Uniswap v4 itse pysyi koskemattomana.
Kaksi tapausta korostavat herkkää tasapainoa innovaation ja turvallisuuden välillä hajautetussa rahoituksessa (DeFi).
Venus Protocolin menetys korostaa inhimillistä tekijää, jossa yksi klikkaus voi pyyhkiä omaisuuksia. Samaan aikaan Bunnin hyökkäys paljastaa, kuinka uusien mekanismien tarkkuusvirheet voivat altistaa likviditeetin.
Markkinoilla, joissa on miljardeja pelissä, yksi virhe, olipa se inhimillinen tai tekninen, voi olla tuhoisa.
Siksi, kun DeFi-sektori laajenee, käyttäjien koulutus ja protokollan tarkkuus pysyvät kriittisinä.
