Venus Protocol 发生了一起重大事件,导致近 3,000 万美元资产损失。
尽管许多人最初怀疑是黑客攻击,但 Cyvers 的区块链安全分析师向 BeInCrypto 证实,这是一名用户的失误,而非协议本身的漏洞。
钓鱼骗局致 Venus 用户损失 3000 万美元
PeckShield 首先发现了这一可疑活动,指出一名 Venus Protocol 用户在遭遇网络钓鱼骗局后损失了约 2,700 万美元。
攻击者通过诱骗受害者批准恶意交易,获得了无限制的资产转移权限。
被盗的代币包括约 1,980 万美元的 vUSDT、715 万美元的 vUSDC、14.6 万美元的 vXRP、2.2 万美元的 vETH,甚至还有 285 枚 BTCB,被观察者称为“跨代财富”。
DeFi 分析师 Ignas 也发表了看法,指出 Venus 本身“按预期运作”,事件源于攻击者利用了被攻陷钱包的预授权。
“一个错误的授权,瞬间就完了。这就是 DeFi 的阴暗面:开放授权很强大,但如果不小心,也会致命,”分析师 Crypto Jargon 写道。
这一观点在社区中引发了共鸣,警告再次浮现。最佳实践包括定期撤销授权、避免点击未验证的链接,以及使用硬件钱包而非仅依赖热钱包。
Cyvers 在给 BeInCrypto 的声明中确认了这一点:
“是的,用户端错误,不是协议层面的问题,”Cyvers 表示。
被盗资金仍未被兑换,存放在攻击者的合约地址中。
“这一事件表明,即使是经验丰富的 DeFi 用户也容易受到复杂网络钓鱼计划的攻击。通过诱骗受害者授予代币授权,攻击者能够在一次交易中从 Venus Protocol 中窃取 2,700 万美元,”Cyvers 的高级安全运营负责人 Hakan Unal 说道。
Bunni DEX 被攻击损失 840 万美元
在另一事件中,基于 Uniswap v4 构建的去中心化交易所(DEX)Bunni 遭遇漏洞攻击,损失超过 840 万美元,涉及以太坊和 UniChain。
与 Venus 事件不同,这是协议层面的真实漏洞。
Bunni 宣布,由于团队正在进行调查,已暂停所有网络上的智能合约功能:
“Bunni 应用程序遭遇了安全漏洞。作为预防措施,我们已暂停所有网络上的智能合约功能,”该网络确认道。
根据 GoPlus Security 的说法,此次漏洞源于 Bunni 自定义的流动性分配功能(LDF)的弱点。
区块链开发者 Victor Tran 解释了攻击者如何通过精心设计的交易操控曲线。
通过在流动性再平衡期间反复触发计算错误,攻击者能够提取比应有数量更多的代币,在最终通过两步交换完成攻击之前耗尽资金池。
Tran 强调,尽管 Bunni 的钩子被攻破,但Uniswap v4 本身未受影响。
这两起事件突显了去中心化金融(DeFi)中创新与安全之间的脆弱平衡。
Venus Protocol 的损失突显了人为因素的重要性,一个错误的点击就可能导致财富蒸发。而 Bunni 的漏洞则揭示了新机制中精度缺陷如何暴露流动性风险。
在一个数十亿美元的市场中,无论是人为还是技术上的失误,都可能造成毁灭性后果。
因此,随着 DeFi 领域的扩展,用户教育和协议的严谨性将依然至关重要。
