Trader do Venus Protocol perde US$ 30 milhões em grande erro, confirma Cyvers

Um incidente dramático no Venus Protocol resultou na perda de quase US$ 30 milhões em ativos.

Enquanto muitos inicialmente suspeitaram de um hack, analistas de segurança blockchain da Cyvers confirmaram ao BeInCrypto que se tratou de um erro do usuário, e não de uma vulnerabilidade no próprio protocolo.

Golpe de Phishing Custa US$ 30 Milhões a Usuário do Venus Protocol, Não Foi um Hack ao Protocolo

A PeckShield foi a primeira a sinalizar a atividade suspeita, observando que um usuário do Venus Protocol teve cerca de US$ 27 milhões drenados após cair em um golpe de phishing.

Um usuário do @VenusProtocol teve cerca de US$ 27 milhões em cripto drenados após cair em um golpe de #phishing. A vítima aprovou uma transação maliciosa, concedendo aprovação de tokens para o endereço do atacante (0x7fd8…202a) para transferência de ativos.

— PeckShieldAlert 2 de setembro de 2025

O atacante obteve acesso enganando a vítima para aprovar uma transação maliciosa, que concedeu permissões ilimitadas para transferir ativos da carteira.

Os tokens roubados incluíram cerca de US$ 19,8 milhões em vUSDT, US$ 7,15 milhões em vUSDC, US$ 146.000 em vXRP, US$ 22.000 em vETH e até 285 BTCB, representando o que observadores descreveram como “riqueza geracional”.

O analista de DeFi Ignas também comentou, observando que o Venus “funcionou como esperado” e que o incidente decorreu do atacante explorar autorizações pré-aprovadas da carteira comprometida.

“Uma aprovação errada e pronto — você está acabado. Esse é o lado sombrio do DeFi: aprovações abertas são poderosas, mas também mortais se você não tomar cuidado”, escreveu o analista Crypto Jargon.

O sentimento foi ecoado por toda a comunidade à medida que alertas voltaram à tona. As melhores práticas incluem revogar aprovações regularmente, evitar links não verificados e usar carteiras de hardware em vez de confiar apenas em carteiras quentes.

A Cyvers confirmou isso em uma declaração ao BeInCrypto:

“Sim, erro do lado do usuário, não no nível do protocolo”, articulou a Cyvers.

Os fundos roubados permanecem sem serem trocados, mantidos no endereço do contrato do atacante.

“Este incidente mostra que até mesmo usuários experientes de DeFi continuam vulneráveis a esquemas sofisticados de phishing. Ao enganar a vítima para conceder aprovações de tokens, o atacante conseguiu drenar US$ 27 milhões de um Venus Protocol em uma única transação”, disse Hakan Unal, Senior Security Operation Lead da Cyvers.

Nesse contexto, Unal alertou os usuários a não clicarem ou aprovarem nada em sites desconhecidos, já que phishers frequentemente se passam por sites oficiais e fazem pequenas alterações no domínio.

Quando questionado sobre as chances de recuperação, o especialista em segurança indicou que, embora recompensas por bugs sejam uma opção, serviços de mistura tornam a recuperação dos ativos quase impossível.

“Embora os usuários possam oferecer uma recompensa por bug on-chain, na maioria dos casos, os fundos roubados acabam em mixers”, acrescentou Unal.

Exploit na Bunni DEX Drena US$ 8,4 Milhões

Em um incidente separado, a Bunni, uma exchange descentralizada (DEX) construída sobre a Uniswap v4, sofreu um exploit que drenou mais de US$ 8,4 milhões entre Ethereum e UniChain.

Diferente do caso Venus, este foi uma vulnerabilidade genuína no nível do protocolo.

A Bunni anunciou que pausou todas as funções de contratos inteligentes em todas as redes enquanto sua equipe investiga:

“O aplicativo Bunni foi afetado por um exploit de segurança. Como precaução, pausamos todas as funções de contratos inteligentes em todas as redes”, confirmou a rede.

De acordo com a GoPlus Security, o exploit teve origem em fraquezas na função personalizada de Distribuição de Liquidez (LDF) da Bunni.

Victor Tran, desenvolvedor blockchain, explicou como o atacante manipulou a curva com trades cuidadosamente dimensionados.

1. Bunni é um liquidity hook que roda sobre a UniswapV4. Em vez de usar o sistema normal da UniswapV4, a Bunni tem sua própria curva de liquidez chamada LDF (Liquidity Distribution Function). 2. Após cada trade, a Bunni verifica se sua curva LDF mudou desde a última negociação. Se mudou,…

— Victor Tran 2 de setembro de 2025

Ao acionar repetidamente erros de cálculo durante o rebalanceamento de liquidez, o explorador conseguiu sacar mais tokens do que deveria, drenando pools antes de finalizar o ataque com dois passos de swap.

Tran enfatizou que, embora o hook da Bunni tenha sido comprometido, a própria Uniswap v4 permaneceu inalterada.

Os dois incidentes destacam o equilíbrio frágil entre inovação e segurança nas finanças descentralizadas (DeFi).

A perda do Venus Protocol destaca o elemento humano, onde um único clique pode apagar fortunas. Enquanto isso, o exploit da Bunni revela como falhas de precisão em mecanismos inovadores podem expor a liquidez.

Em um mercado onde bilhões estão em jogo, um erro, seja humano ou técnico, pode ser devastador.

Portanto, à medida que o setor DeFi se expande, a educação dos usuários e o rigor dos protocolos continuarão sendo críticos.