Venus Protocol Trader Nawalan ng $30 Milyon Dahil sa Malaking Pagkakamali, Kumpirmado ng Cyvers

Isang dramatikong insidente sa Venus Protocol ang nagresulta sa pagkawala ng halos $30 milyon na halaga ng mga asset.

Habang marami ang unang nag-akala na ito ay isang hack, kinumpirma ng mga blockchain security analyst mula Cyvers sa BeInCrypto na ito ay pagkakamali sa panig ng user, hindi kahinaan ng mismong protocol.

Phishing Scam Nagdulot ng Pagkawala ng $30 Milyon sa User ng Venus Protocol, Hindi Isang Protocol Hack

Unang itinuro ng PeckShield ang kahina-hinalang aktibidad, na binanggit na ang isang user ng Venus Protocol ay nawalan ng humigit-kumulang $27 milyon matapos mabiktima ng isang phishing scam.

Ang isang user ng @VenusProtocol ay nabawasan ng ~$27M sa crypto matapos mabiktima ng isang #phishing scam. Inaprubahan ng biktima ang isang malisyosong transaksyon, na nagbigay ng token approval sa address ng attacker (0x7fd8…202a) para sa paglipat ng asset.

— PeckShieldAlert September 2, 2025

Nakuha ng attacker ang access sa pamamagitan ng panlilinlang sa biktima na aprubahan ang isang malisyosong transaksyon, na nagbigay ng walang limitasyong permiso upang mailipat ang mga asset mula sa wallet.

Kabilang sa mga ninakaw na token ang humigit-kumulang $19.8 milyon sa vUSDT, $7.15 milyon sa vUSDC, $146,000 sa vXRP, $22,000 sa vETH, at maging 285 BTCB, na inilarawan ng mga tagamasid bilang “generational wealth.”

Nagbigay rin ng opinyon ang Defi analyst na si Ignas, na binanggit na ang Venus mismo ay “gumana ayon sa inaasahan” at ang insidente ay nagmula sa pagsasamantala ng attacker sa mga pre-approved na authorization mula sa na-kompromisong wallet.

“Isang maling approval at boom—tapos ka na. Iyan ang madilim na bahagi ng DeFi: makapangyarihan ang open approvals, ngunit nakamamatay din kung hindi ka mag-iingat,” ayon kay analyst Crypto Jargon.

Ang sentimyentong ito ay inulit sa buong komunidad habang muling lumitaw ang mga babala. Kabilang sa mga pinakamahusay na praktis ang regular na pag-revoke ng approvals, pag-iwas sa mga hindi beripikadong link, at paggamit ng hardware wallets sa halip na umasa lamang sa hot wallets.

Kumpirmado ito ng Cyvers sa isang pahayag sa BeInCrypto:

“Oo, pagkakamali sa panig ng user, hindi sa protocol level,” ayon sa Cyvers.

Ang mga ninakaw na pondo ay nananatiling hindi pa na-swap, hawak pa rin sa contract address ng attacker.

“Ipinapakita ng insidenteng ito na kahit ang mga bihasang DeFi user ay nananatiling bulnerable sa mga sopistikadong phishing scheme. Sa panlilinlang sa biktima upang magbigay ng token approvals, nagawa ng attacker na ma-drain ang $27 milyon mula sa Venus Protocol sa isang transaksyon,” ayon kay Hakan Unal, Senior Security Operation Lead sa Cyvers.

Sa ganitong konteksto, nagbabala si Unal sa mga user na huwag basta-basta mag-click o mag-apruba ng kahit ano sa mga hindi pamilyar na website, dahil madalas gumaya ang mga phisher ng opisyal na site at gumagawa ng maliliit na pagbabago sa domain.

Nang tanungin tungkol sa posibilidad ng pagbawi, ipinahiwatig ng security expert na bagama’t may opsyon na mag-alok ng bug bounties, halos imposibleng mabawi ang mga asset dahil sa paggamit ng mixing services.

“Bagama’t maaaring mag-alok ang mga user ng bug bounty on-chain, sa karamihan ng mga kaso, nauuwi ang mga ninakaw na pondo sa mixers,” dagdag ni Unal.

Bunni DEX Exploit Nagdulot ng Pagkawala ng $8.4 Milyon

Sa isang hiwalay na insidente, ang Bunni, isang decentralized exchange (DEX) na itinayo sa Uniswap v4, ay nakaranas ng exploit na nagdulot ng pagkawala ng mahigit $8.4 milyon sa Ethereum at UniChain.

Hindi tulad ng kaso sa Venus, ito ay isang tunay na kahinaan sa protocol level.

Inanunsyo ng Bunni na pansamantala nitong itinigil ang lahat ng smart contract functions sa lahat ng network habang iniimbestigahan ng kanilang team:

“Ang Bunni app ay naapektuhan ng isang security exploit. Bilang pag-iingat, pansamantala naming itinigil ang lahat ng smart contract functions sa lahat ng network,” kinumpirma ng network.

Ayon sa GoPlus Security, nagmula ang exploit sa kahinaan ng custom Liquidity Distribution Function (LDF) ng Bunni.

Ipinaliwanag ni Victor Tran, isang blockchain developer, kung paano manipulahin ng attacker ang curve gamit ang maingat na sukat ng mga trade.

1. Ang Bunni ay isang liquidity hook na tumatakbo sa ibabaw ng UniswapV4. Sa halip na gamitin ang normal na sistema ng UniswapV4, may sarili itong liquidity curve na tinatawag na LDF (Liquidity Distribution Function). 2. Pagkatapos ng bawat trade, sinusuri ng Bunni kung nagbago ang LDF curve mula sa huling trade. Kung nagbago ito,…

— Victor Tran September 2, 2025

Sa pamamagitan ng paulit-ulit na pag-trigger ng maling kalkulasyon habang nire-rebalance ang liquidity, nagawa ng exploiter na mag-withdraw ng mas maraming token kaysa sa dapat, naubos ang pools bago tapusin ang atake gamit ang dalawang swap steps.

Binigyang-diin ni Tran na bagama’t na-kompromiso ang hook ng Bunni, nanatiling ligtas ang Uniswap v4 mismo.

Ipinapakita ng dalawang insidenteng ito ang marupok na balanse sa pagitan ng inobasyon at seguridad sa decentralized finance (DeFi).

Ang pagkawala sa Venus Protocol ay nagpapakita ng human element, kung saan isang click lang ay maaaring magbura ng kayamanan. Samantala, ang exploit sa Bunni ay nagpapakita kung paano ang mga bahagyang depekto sa mga bagong mekanismo ay maaaring maglantad ng liquidity.

Sa isang merkado kung saan bilyon-bilyon ang nakataya, isang pagkakamali—maging ito man ay gawa ng tao o teknikal—ay maaaring magdulot ng matinding pinsala.

Kaya naman, habang lumalawak ang DeFi sector, mananatiling kritikal ang edukasyon ng user at ang istriktong pagpapatupad ng protocol.