Venus Protocol wstrzymuje działanie po utracie środków przez użytkownika w wyniku podejrzewanego ataku phishingowego

Duży użytkownik Venus Protocol, zdecentralizowanego pożyczkodawcy DeFi, stracił około 13,5 miliona dolarów po tym, jak najwyraźniej podpisał złośliwą transakcję, która przyznała atakującemu uprawnienia do tokenów, poinformowały we wtorek firmy zajmujące się bezpieczeństwem blockchain.

W odpowiedzi na incydent Venus wstrzymał swoją platformę do czasu przeprowadzenia śledztwa. „Jesteśmy świadomi podejrzanej transakcji i aktywnie prowadzimy dochodzenie” – napisał zespół na X. „Venus jest obecnie wstrzymany zgodnie z protokołami bezpieczeństwa.”

PeckShield poinformował, że ofiara „zatwierdziła złośliwą transakcję”, umożliwiając adresowi „0x7fd…6202a” transferowanie aktywów z portfela. CertiK dodał, że portfel wywołał funkcję updateDelegate, aby zatwierdzić atakującego przed wyprowadzeniem środków, udostępniając zapis transakcji na BNB Chain.

Ponadto moderatorzy Venus Protocol poinformowali użytkowników w wiadomości na Telegramie, że sam protokół „pozostaje nienaruszony”, choć inżynierowie sprawdzają to ponownie dla pewności. „Dla jasności, Venus Protocol NIE został wykorzystany. Zaatakowany został użytkownik. Smart contract jest bezpieczny” – przekazało konto projektu na X w odpowiedzi na spekulacje, że platforma została wykorzystana.

Uruchomiony w 2020 roku Venus Protocol to zdecentralizowany rynek pożyczkowy, najbardziej znany z wdrożenia na BNB Chain oraz dodatkowych uruchomień na Ethereum, opBNB, Arbitrum, Optimism i zkSync. Umożliwia użytkownikom dostarczanie zabezpieczeń, zaciąganie pożyczek oraz mintowanie stablecoina VAI, z zarządzaniem poprzez token XVS. XVS spadł nawet o 9% w związku z problemem, po czym nieco się odbił, jak pokazują dane Tradingview.

Domniemany wektor ataku przypomina częsty problem w awariach DeFi. Oszuści phishingowi nakłaniają użytkowników do podpisania zatwierdzeń tokenów, które pozwalają osobom trzecim przenosić aktywa. Po przyznaniu takich uprawnień mogą one być wykorzystywane do wyprowadzania środków, dopóki uprawnienia nie zostaną cofnięte. Według raportu półrocznego firmy CertiK zajmującej się bezpieczeństwem blockchain, ataki phishingowe odpowiadały za 410 milionów dolarów strat użytkowników kryptowalut w pierwszej połowie 2025 roku w 132 incydentach. Oddzielny raport firmy Hacken, innej firmy zajmującej się bezpieczeństwem Web3, szacuje straty na 600 milionów dolarów, wynikające wyłącznie z phishingu i schematów inżynierii społecznej w tym samym okresie.