Venus Protocol、ユーザーが資金を失うフィッシング攻撃の疑いで一時停止

分散型金融レンダーであるVenus Protocolの大口ユーザーが、悪意のあるトランザクションに署名し、攻撃者にトークン承認を与えたことで、約1,350万ドルが流出したと、ブロックチェーンセキュリティ企業が火曜日に発表しました。

この事件を受けて、Venusは調査のためプラットフォームを一時停止しました。「不審なトランザクションを認識しており、積極的に調査中です」とチームはXで述べました。「Venusは現在、セキュリティプロトコルに従い一時停止中です。」

PeckShieldは、被害者が「悪意のあるトランザクションを承認した」とし、アドレス「0x7fd…6202a」がウォレットから資産を移動できるようになったと述べました。CertiKはさらに、ウォレットがupdateDelegate関数を呼び出して攻撃者を承認した後に資金が流出したとし、BNB Chain上のトランザクション記録を共有しました。

また、Venus ProtocolのモデレーターはTelegramメッセージで、プロトコル自体は「無傷である」とユーザーに伝えましたが、エンジニアが念のため再確認していると述べました。「明確にするために、Venus Protocol自体は攻撃されていません。ユーザーが攻撃されました。スマートコントラクトは安全です」と、プロジェクトのXアカウントは、プラットフォーム自体が攻撃されたという憶測の中で共有しました。

2020年にローンチされたVenus Protocolは、BNB Chainでの展開とEthereum、opBNB、Arbitrum、Optimism、zkSyncでの追加展開で知られる分散型レンディングマーケットです。ユーザーは担保を提供し、資産を借り入れ、VAIステーブルコインをミントでき、ガバナンスはXVSトークンで行われます。Tradingviewのデータによると、今回の問題を受けてXVSは最大9%下落し、その後やや回復しました。

疑われる攻撃ベクトルは、DeFiにおける一般的な問題を反映しています。フィッシング詐欺師は、ユーザーにトークン承認の署名をさせ、第三者が資産を移動できるようにします。一度承認されると、その許可は権限が取り消されるまで資金を流出させるために使用されます。ブロックチェーンセキュリティ企業CertiKの中間報告書によると、2025年上半期において、フィッシング攻撃による暗号資産ユーザーの損失は132件のインシデントで4億1,000万ドルに上りました。別のWeb3セキュリティ企業Hackenの報告では、同期間にフィッシングおよびソーシャルエンジニアリングによる損失は6億ドルと推定されています。