Venus Protocol发生戏剧性事件,导致价值近3000万美元的资产损失。
尽管许多人最初怀疑是黑客攻击,但区块链安全公司Cyvers向BeInCrypto证实,这是用户端操作失误,而非协议本身漏洞。
钓鱼骗局致Venus Protocol用户损失3000万美元,非协议被黑
PeckShield最先标记该可疑活动,指出一名Venus Protocol用户遭遇钓鱼骗局后损失约2700万美元。
攻击者通过诱骗受害者批准恶意交易获得权限,该交易授予了从钱包无限转移资产的权限。
被盗代币包括约1980万美元的vUSDT、715万美元的vUSDC、14.6万美元的vXRP、2.2万美元的vETH,甚至285枚BTCB,观察者称这些资产相当于"世代财富"。
DeFi分析师Ignas指出Venus协议"运作正常",事件源于攻击者利用了受害钱包预先批准的授权。
"一次错误的授权批准就会让你倾家荡产。这就是DeFi的阴暗面:开放式授权功能强大,但稍有不慎就会致命,"分析师Crypto Jargon写道。
社区普遍认同这一观点,并再次强调安全规范:定期撤销授权、避免点击未经验证的链接、使用硬件钱包而非单纯依赖热钱包。
Cyvers在向BeInCrypto发表的声明中确认:
"确属用户端错误,非协议层问题。"
被盗资金仍保留原状,存放在攻击者的合约地址中。
Cyvers高级安全运营主管Hakan Unal表示:"该事件表明即使经验丰富的DeFi用户也难逃精密钓鱼陷阱。攻击者仅用一笔交易就榨干了Venus Protocol上2700万美元。"
Unal警告用户切勿在陌生网站点击或批准任何内容,因钓鱼网站常伪装成官网并做细微域名改动。
当被问及追回资产的可能性时,这位安全专家表示虽然链上悬赏是可行方案,但混币服务使得资产追回几乎不可能。
"尽管用户可提供链上漏洞赏金,但多数情况下被盗资金最终会进入混币器,"Unal补充道。
Bunni DEX遭攻击损失840万美元
另一起事件中,基于Uniswap v4构建的去中心化交易所Bunni遭攻击,以太坊和UniChain链上合计损失超840万美元。
与Venus事件不同,此次是协议层面的真实漏洞。
Bunni宣布已暂停所有网络的智能合约功能以配合调查:
"Bunni应用遭受安全攻击。作为预防措施,我们已暂停全网的智能合约功能。"
据GoPlus Security分析,漏洞源于Bunni自定义流动性分配函数(LDF)的缺陷。
区块链开发者Victor Tran解释攻击者如何通过精确控制的交易规模操纵曲线:
通过在流动性再平衡期间反复触发计算错误,攻击者超额提取代币,最终通过两次兑换完成攻击。
Tran强调虽然Bunni的hook被攻破,但Uniswap v4本身未受影响。
两起事件凸显了DeFi创新与安全间的脆弱平衡。
Venus Protocol的损失体现了人为因素——一次点击即可毁灭财富;而Bunni事件则暴露了新机制精度缺陷可能引发的流动性风险。
在这个牵动数十亿美元的市场中,无论是人为失误还是技术缺陷都可能造成毁灭性后果。
因此随着DeFi领域扩张,用户教育和协议严谨性将至关重要。