Venus Protocol призупинено після того, як користувач втратив кошти через підозрювану фішингову атаку

Великого користувача Venus Protocol, децентралізованого кредитного сервісу, було позбавлено близько $13.5 мільйонів після того, як він, очевидно, підписав шкідливу транзакцію, яка надала зловмиснику дозволи на токени, повідомили у вівторок компанії з блокчейн-безпеки.

У відповідь на інцидент Venus призупинила роботу своєї платформи на час розслідування. “Ми знаємо про підозрілу транзакцію та активно розслідуємо ситуацію,” написала команда у X. “Venus наразі призупинено згідно з протоколами безпеки.”

PeckShield повідомила, що жертва “схвалила шкідливу транзакцію”, дозволивши адресі “0x7fd…6202a” вивести активи з гаманця. CertiK додала, що гаманець викликав функцію updateDelegate для схвалення зловмисника перед тим, як кошти були виведені, поділившись записом транзакції у BNB Chain.

Крім того, модератори Venus Protocol повідомили користувачів у Telegram, що сам протокол “залишається недоторканим”, хоча інженери ще раз все перевіряють. "Для уточнення, Venus Protocol НЕ був зламаний. Атаковано користувача. Смарт-контракт у безпеці," написано в акаунті проєкту у X на тлі чуток про експлойт самої платформи.

Запущений у 2020 році, Venus Protocol є децентралізованим кредитним ринком, який найбільше відомий своєю роботою на BNB Chain та додатковими розгортаннями на Ethereum, opBNB, Arbitrum, Optimism та zkSync. Він дозволяє користувачам надавати заставу, брати активи в борг і емісувати стейблкоїн VAI, а управління здійснюється через токен XVS. XVS впав на цілих 9% під час інциденту, але трохи відновився на момент написання, згідно з даними Tradingview.

Підозрюваний вектор атаки повторює поширену проблему у DeFi. Фішингові шахраї обманом змушують користувачів підписувати дозволи на токени, які дозволяють третім особам переміщати активи. Після надання ці дозволи можуть використовуватися для виведення коштів, поки дозволи не будуть відкликані. Згідно з піврічним звітом компанії з блокчейн-безпеки CertiK, фішингові атаки призвели до втрат у розмірі $410 мільйонів серед користувачів криптовалют у першій половині 2025 року у 132 інцидентах. Окремий звіт від Hacken, ще однієї компанії з Web3-безпеки, оцінює втрати саме від фішингу та схем соціальної інженерії у $600 мільйонів за той самий період.