Venus Protocol treyderi katta xatolik tufayli 30 million dollar yo‘qotdi, Cyvers tasdiqladi

Venus Protocol’da yuz bergan dramatik hodisa natijasida deyarli 30 million dollarlik aktivlar yo‘qotildi.

Boshida ko‘pchilik bu voqeani xakerlik deb o‘ylagan bo‘lsa-da, Cyvers’dagi blokcheyn xavfsizlik tahlilchilari BeInCrypto’ga bu protokolning o‘zidagi zaiflik emas, foydalanuvchi tomonidan qilingan xato ekanini tasdiqladi.

Phishing Scam Venus Protocol Foydalanuvchisiga 30 Million Dollar Yo‘qotishga Olib Keldi, Protokol Xakerligi Emas

PeckShield birinchi bo‘lib shubhali faoliyatni aniqladi va Venus Protocol foydalanuvchisi phishing sxemasi qurboni bo‘lib, taxminan 27 million dollar yo‘qotganini qayd etdi.

@VenusProtocol foydalanuvchisi #phishing sxemasi qurboni bo‘lib, taxminan 27 million dollarlik kriptodan ayrildi. Jabrlanuvchi zararli tranzaksiyani tasdiqlagan, natijada xaker manziliga (0x7fd8…202a) aktivlarni o‘tkazish uchun token ruxsatini bergan.

— PeckShieldAlert September 2, 2025

Hujumchi jabrlanuvchini zararli tranzaksiyani tasdiqlashga aldab, hamyonidan aktivlarni cheksiz o‘tkazish huquqini qo‘lga kiritgan.

O‘g‘irlangan tokenlar orasida taxminan 19.8 million dollar vUSDT, 7.15 million dollar vUSDC, 146,000 dollar vXRP, 22,000 dollar vETH va hatto 285 BTCB bor edi, bu esa kuzatuvchilar tomonidan “avlod boyligi” deb ta’riflandi.

Defi tahlilchisi Ignas ham o‘z fikrini bildirib, Venus protokoli “kutilganidek ishlaganini” va hodisa xaker tomonidan buzilgan hamyondagi oldindan berilgan ruxsatlardan foydalanish natijasida yuzaga kelganini ta’kidladi.

“Bitta noto‘g‘ri ruxsat va boom—hammasi tugadi. Bu DeFi’ning qorong‘u tomoni: ochiq ruxsatlar kuchli, lekin ehtiyot bo‘lmasangiz, o‘ta xavfli,” — deb yozdi tahlilchi Crypto Jargon.

Ushbu kayfiyat jamiyatda ham aks-sado berdi va ogohlantirishlar yana paydo bo‘ldi. Eng yaxshi amaliyotlar orasida ruxsatlarni muntazam bekor qilish, tasdiqlanmagan havolalardan saqlanish va faqat hot wallet’ga tayanmasdan, hardware wallet’lardan foydalanish tavsiya etiladi.

Cyvers buni BeInCrypto’ga bergan bayonotida tasdiqladi:

“Ha, foydalanuvchi tomoni xatosi, protokol darajasida emas,” — dedi Cyvers.

O‘g‘irlangan mablag‘lar hali almashtirilmagan, xakerning kontrakt manzilida saqlanmoqda.

“Bu hodisa shuni ko‘rsatadiki, tajribali DeFi foydalanuvchilari ham murakkab phishing sxemalariga zaif. Jabrlanuvchini token ruxsatlarini berishga aldash orqali xaker Venus Protocol’dan bir tranzaksiyada 27 million dollarni yechib olgan,” — dedi Cyvers’ning Katta Xavfsizlik Operatsiyalari Rahbari Hakan Unal.

Shu fon ostida, Unal foydalanuvchilarga notanish saytlar orqali hech narsa bosmaslik yoki tasdiqlamaslikni, chunki phishingchilar ko‘pincha rasmiy saytlarni soxtalashtirib, domenlarda kichik o‘zgarishlar qilishini ogohlantirdi.

Qayta tiklash umidi haqida so‘ralganda, xavfsizlik eksperti bug bounty imkoniyati borligini, ammo mixing xizmatlari aktivlarni qaytarishni deyarli imkonsiz qilishini aytdi.

“Foydalanuvchilar on-chain bug bounty taklif qilishi mumkin, lekin ko‘pchilik hollarda o‘g‘irlangan mablag‘lar mikserlarga tushadi,” — deya qo‘shimcha qildi Unal.

Bunni DEX Ekspluatatsiyasi 8.4 Million Dollar Yo‘qotdi

Boshqa bir hodisada, Uniswap v4 asosida qurilgan Bunni, markazlashmagan birja (DEX), Ethereum va UniChain tarmoqlarida 8.4 million dollardan ortiq mablag‘ni yo‘qotgan ekspluatatsiyaga uchradi.

Venus holatidan farqli o‘laroq, bu haqiqiy protokol darajasidagi zaiflik edi.

Bunni jamoasi tergov olib borayotgan bir paytda barcha tarmoqlarda smart-kontrakt funksiyalarini to‘xtatganini e’lon qildi:

“Bunni ilovasi xavfsizlik ekspluatatsiyasidan zarar ko‘rdi. Ehtiyot chorasi sifatida, barcha tarmoqlarda smart-kontrakt funksiyalarini to‘xtatdik,” — deb tasdiqladi tarmoq.

GoPlus Security ma’lumotiga ko‘ra, ekspluatatsiya Bunni’ning maxsus Likvidlik Ta’minlash Funktsiyasi (LDF)dagi zaiflikdan kelib chiqqan.

Blokcheyn dasturchisi Victor Tran xaker qanday qilib ehtiyotkorlik bilan hajmlangan savdolar orqali egri chiziqni manipulyatsiya qilganini tushuntirdi.

1. Bunni UniswapV4 ustida ishlaydigan likvidlik hook’idir. UniswapV4’ning odatiy tizimi o‘rniga, Bunni o‘zining LDF (Liquidity Distribution Function) egri chizig‘iga ega. 2. Har bir savdodan so‘ng, Bunni LDF egri chizig‘i oxirgi savdodan beri o‘zgarganini tekshiradi. Agar o‘zgargan bo‘lsa,…

— Victor Tran September 2, 2025

Likvidlikni qayta muvozanatlashtirish paytida hisob-kitoblarni takroran noto‘g‘ri bajarish orqali ekspluatator kerakligidan ko‘proq tokenlarni yechib olgan va hujumni ikki bosqichli swap bilan yakunlagan.

Tran ta’kidlashicha, Bunni hook’i buzilgan bo‘lsa-da, Uniswap v4 o‘zi ta’sir ko‘rsatmagan.

Bu ikki hodisa markazlashmagan moliya (DeFi)da innovatsiya va xavfsizlik o‘rtasidagi nozik muvozanatni ko‘rsatadi.

Venus Protocol’dagi yo‘qotish inson omilini ko‘rsatadi, bitta bosish boylikni yo‘qotishga olib kelishi mumkin. Shu bilan birga, Bunni’dagi ekspluatatsiya yangi mexanizmlardagi aniqlikdagi xatolar likvidlikni xavf ostiga qo‘yishini namoyon etdi.

Bozorda milliardlab dollarlar xavf ostida bo‘lgan bir paytda, bitta xato — insoniy yoki texnik — halokatli bo‘lishi mumkin.

Shuning uchun, DeFi sektori kengayib borar ekan, foydalanuvchilarni o‘qitish va protokol qat’iyligi muhim bo‘lib qoladi.