Trader de Venus Protocol pierde 30 millones de dólares por un error grave, confirma Cyvers

Un incidente dramático en Venus Protocol resultó en la pérdida de casi 30 millones de dólares en activos.

Mientras que muchos inicialmente sospecharon de un hackeo, los analistas de seguridad blockchain de Cyvers confirmaron a BeInCrypto que se trató de un error del usuario, no de una vulnerabilidad en el protocolo en sí.

Una estafa de phishing le cuesta 30 millones de dólares a un usuario de Venus Protocol, no fue un hackeo al protocolo

PeckShield fue el primero en señalar la actividad sospechosa, observando que un usuario de Venus Protocol había sido despojado de aproximadamente 27 millones de dólares tras caer víctima de una estafa de phishing.

Un usuario de @VenusProtocol perdió aproximadamente 27 millones de dólares en cripto tras caer en una estafa de #phishing. La víctima aprobó una transacción maliciosa, otorgando aprobación de tokens a la dirección del atacante (0x7fd8…202a) para transferir activos.

— PeckShieldAlert 2 de septiembre de 2025

El atacante obtuvo acceso engañando a la víctima para que aprobara una transacción maliciosa, lo que le otorgó permisos ilimitados para transferir activos desde la wallet.

Los tokens robados incluyeron alrededor de 19.8 millones de dólares en vUSDT, 7.15 millones en vUSDC, 146,000 en vXRP, 22,000 en vETH e incluso 285 BTCB, representando lo que los observadores describieron como “riqueza generacional”.

El analista de DeFi Ignas también opinó, señalando que Venus “funcionó como debía” y que el incidente se debió a que el atacante explotó autorizaciones preaprobadas desde la wallet comprometida.

“Una sola aprobación errónea y boom—estás acabado. Ese es el lado oscuro de DeFi: las aprobaciones abiertas son poderosas, pero también mortales si no tenés cuidado”, escribió el analista Crypto Jargon.

El sentimiento fue compartido en toda la comunidad mientras resurgían advertencias. Las mejores prácticas incluyen revocar aprobaciones regularmente, evitar enlaces no verificados y usar wallets de hardware en lugar de depender únicamente de hot wallets.

Cyvers confirmó esto en una declaración a BeInCrypto:

“Sí, fue un error del usuario, no a nivel de protocolo”, articuló Cyvers.

Los fondos robados permanecen sin intercambiar, retenidos en la dirección de contrato del atacante.

“Este incidente demuestra que incluso los usuarios experimentados de DeFi siguen siendo vulnerables a esquemas de phishing sofisticados. Al engañar a la víctima para que otorgue aprobaciones de tokens, el atacante pudo drenar 27 millones de dólares de Venus Protocol en una sola transacción”, dijo Hakan Unal, Senior Security Operation Lead en Cyvers.

En este contexto, Unal advirtió a los usuarios que no hagan clic ni aprueben nada en sitios web desconocidos, ya que los phishers suelen hacerse pasar por sitios oficiales y realizar cambios sutiles en los dominios.

Cuando se le preguntó sobre las esperanzas de recuperación, el experto en seguridad indicó que, si bien las recompensas por bugs son una opción, los servicios de mezcla hacen que la recuperación de activos sea casi imposible.

“Si bien los usuarios pueden ofrecer una recompensa por bugs on-chain, en la mayoría de los casos, los fondos robados terminan en mixers”, agregó Unal.

Explotación en Bunni DEX drena 8.4 millones de dólares

En un incidente separado, Bunni, un exchange descentralizado (DEX) construido sobre Uniswap v4, sufrió una explotación que drenó más de 8.4 millones de dólares entre Ethereum y UniChain.

A diferencia del caso de Venus, esto fue una vulnerabilidad genuina a nivel de protocolo.

Bunni anunció que había pausado todas las funciones de smart contracts en todas las redes mientras su equipo investiga:

“La app de Bunni se ha visto afectada por una explotación de seguridad. Como precaución, hemos pausado todas las funciones de smart contracts en todas las redes”, confirmó la red.

Según GoPlus Security, la explotación se originó en debilidades de la función personalizada de distribución de liquidez (LDF) de Bunni.

Victor Tran, desarrollador blockchain, explicó cómo el atacante manipuló la curva con operaciones cuidadosamente dimensionadas.

1. Bunni es un liquidity hook que corre sobre UniswapV4. En vez de usar el sistema normal de UniswapV4, Bunni tiene su propia curva de liquidez llamada LDF (Liquidity Distribution Function). 2. Después de cada trade, Bunni verifica si su curva LDF cambió desde la última operación. Si es así,…

— Victor Tran 2 de septiembre de 2025

Al activar repetidamente errores de cálculo durante el rebalanceo de liquidez, el explotador pudo retirar más tokens de los que debía, vaciando los pools antes de finalizar el ataque con dos pasos de swap.

Tran enfatizó que, si bien el hook de Bunni fue comprometido, Uniswap v4 en sí no se vio afectado.

Los dos incidentes resaltan el delicado equilibrio entre innovación y seguridad en las finanzas descentralizadas (DeFi).

La pérdida de Venus Protocol destaca el factor humano, donde un solo clic puede borrar fortunas. Mientras tanto, la explotación de Bunni revela cómo las fallas de precisión en mecanismos novedosos pueden exponer la liquidez.

En un mercado donde están en juego miles de millones, un solo error, sea humano o técnico, puede resultar devastador.

Por lo tanto, a medida que el sector DeFi se expande, la educación del usuario y el rigor de los protocolos seguirán siendo fundamentales.