Trader Venus Protocol Kehilangan $30 Juta Akibat Kesalahan Besar, Cyvers Mengonfirmasi

Sebuah insiden dramatis di Venus Protocol telah mengakibatkan hilangnya aset senilai hampir $30 juta.

Sementara banyak orang awalnya menduga adanya peretasan, analis keamanan blockchain di Cyvers mengonfirmasi kepada BeInCrypto bahwa ini adalah kesalahan di sisi pengguna, bukan kerentanan pada protokol itu sendiri.

Penipuan Phishing Membuat Pengguna Venus Protocol Kehilangan $30 Juta, Bukan Peretasan Protokol

PeckShield pertama kali menandai aktivitas mencurigakan ini, mencatat bahwa seorang pengguna Venus Protocol telah kehilangan sekitar $27 juta setelah menjadi korban penipuan phishing.

Seorang pengguna @VenusProtocol telah kehilangan sekitar $27 juta dalam bentuk kripto setelah menjadi korban penipuan #phishing. Korban menyetujui transaksi berbahaya, memberikan persetujuan token ke alamat penyerang (0x7fd8…202a) untuk transfer aset.

— PeckShieldAlert September 2, 2025

Penyerang mendapatkan akses dengan menipu korban agar menyetujui transaksi berbahaya, yang memberikan izin tak terbatas untuk mentransfer aset dari dompet.

Token yang dicuri termasuk sekitar $19,8 juta dalam vUSDT, $7,15 juta dalam vUSDC, $146.000 dalam vXRP, $22.000 dalam vETH, dan bahkan 285 BTCB, yang digambarkan pengamat sebagai “kekayaan lintas generasi.”

Analis DeFi Ignas juga memberikan pendapat, mencatat bahwa Venus sendiri “berfungsi sebagaimana mestinya” dan insiden ini berasal dari penyerang yang mengeksploitasi otorisasi yang telah disetujui sebelumnya dari dompet yang telah dikompromikan.

“Satu persetujuan yang buruk dan boom—selesai sudah. Itulah sisi gelap DeFi: persetujuan terbuka memang kuat, tapi juga mematikan jika Anda tidak hati-hati,” tulis analis Crypto Jargon.

Pendapat ini digaungkan di seluruh komunitas seiring munculnya kembali peringatan. Praktik terbaik termasuk secara rutin mencabut persetujuan, menghindari tautan yang tidak diverifikasi, dan menggunakan hardware wallet daripada hanya mengandalkan hot wallet.

Cyvers mengonfirmasi hal ini dalam pernyataan kepada BeInCrypto:

“Ya, kesalahan di sisi pengguna bukan di tingkat protokol,” jelas Cyvers.

Dananya yang dicuri masih belum ditukar, tetap berada di alamat kontrak penyerang.

“Insiden ini menunjukkan bahwa bahkan pengguna DeFi berpengalaman tetap rentan terhadap skema phishing yang canggih. Dengan menipu korban agar memberikan persetujuan token, penyerang dapat menguras $27 juta dari Venus Protocol hanya dalam satu transaksi,” kata Hakan Unal, Senior Security Operation Lead di Cyvers.

Dalam konteks ini, Unal memperingatkan pengguna agar tidak mengklik atau menyetujui apa pun di situs web yang tidak dikenal, karena pelaku phishing sering menyamar sebagai situs resmi dan melakukan perubahan domain yang halus.

Saat ditanya tentang harapan pemulihan, pakar keamanan tersebut mengindikasikan bahwa meskipun bug bounty adalah opsi, layanan mixing membuat pemulihan aset hampir mustahil.

“Meskipun pengguna dapat menawarkan bug bounty secara on-chain, dalam banyak kasus, dana yang dicuri akhirnya masuk ke mixer,” tambah Unal.

Eksploitasi Bunni DEX Menguras $8,4 Juta

Dalam insiden terpisah, Bunni, sebuah decentralized exchange (DEX) yang dibangun di atas Uniswap v4, mengalami eksploitasi yang menguras lebih dari $8,4 juta di jaringan Ethereum dan UniChain.

Tidak seperti kasus Venus, ini adalah kerentanan nyata di tingkat protokol.

Bunni mengumumkan bahwa mereka telah menghentikan semua fungsi smart contract di seluruh jaringan saat timnya melakukan investigasi:

“Aplikasi Bunni telah terdampak oleh eksploitasi keamanan. Sebagai tindakan pencegahan, kami telah menghentikan semua fungsi smart contract di semua jaringan,” konfirmasi jaringan tersebut.

Menurut GoPlus Security, eksploitasi ini berasal dari kelemahan pada Liquidity Distribution Function (LDF) khusus milik Bunni.

Victor Tran, seorang pengembang blockchain, menjelaskan bagaimana penyerang memanipulasi kurva dengan melakukan perdagangan berukuran tertentu secara hati-hati.

1. Bunni adalah liquidity hook yang berjalan di atas UniswapV4. Alih-alih menggunakan sistem normal UniswapV4, Bunni memiliki kurva likuiditas sendiri yang disebut LDF (Liquidity Distribution Function).2. Setelah setiap perdagangan, Bunni memeriksa apakah kurva LDF-nya telah berubah sejak perdagangan terakhir. Jika ya,…

— Victor Tran September 2, 2025

Dengan berulang kali memicu kesalahan perhitungan selama penyeimbangan ulang likuiditas, pelaku eksploitasi dapat menarik lebih banyak token daripada yang seharusnya, menguras pool sebelum menyelesaikan serangan dengan dua langkah swap.

Tran menekankan bahwa meskipun hook milik Bunni telah dikompromikan, Uniswap v4 sendiri tetap tidak terpengaruh.

Kedua insiden ini menyoroti keseimbangan rapuh antara inovasi dan keamanan dalam keuangan terdesentralisasi (DeFi).

Kerugian Venus Protocol menyoroti unsur manusia, di mana satu klik saja dapat menghapus kekayaan. Sementara itu, eksploitasi Bunni mengungkap bagaimana kekurangan presisi pada mekanisme baru dapat mengekspos likuiditas.

Di pasar di mana miliaran dolar dipertaruhkan, satu kesalahan, baik dari sisi manusia maupun teknis, dapat berakibat fatal.

Oleh karena itu, seiring sektor DeFi berkembang, edukasi pengguna dan ketelitian protokol akan tetap menjadi hal yang krusial.