Venus Protocol 交易者因重大失誤損失3,000萬美元，Cyvers證實

Venus Protocol 發生了一起戲劇性的事件，導致近3,000萬美元資產損失。

雖然許多人最初懷疑是遭到駭客攻擊，但 Cyvers 的區塊鏈安全分析師向 BeInCrypto 證實，這是一個用戶端的錯誤，而非協議本身的漏洞。

Venus Protocol 用戶因釣魚詐騙損失3,000萬美元，並非協議被駭

PeckShield 首先發現了這一可疑活動，指出一名 Venus Protocol 用戶因為遭遇釣魚詐騙，被盜走約2,700萬美元。

@VenusProtocol 的一名用戶因為落入 #phishing 釣魚詐騙，被盜走約2,700萬美元加密貨幣。受害者批准了一筆惡意交易，給攻擊者地址（0x7fd8…202a）授權資產轉移權限。

— PeckShieldAlert September 2, 2025

攻擊者通過誘使受害者批准惡意交易，獲得了無限制轉移錢包資產的權限。

被盜的代幣包括約1,980萬美元的 vUSDT、715萬美元的 vUSDC、14.6萬美元的 vXRP、2.2萬美元的 vETH，以及285枚 BTCB，這些資產被觀察者形容為「世代財富」。

Defi 分析師 Ignas 也發表了看法，指出 Venus 本身「運作如預期」，此次事件是攻擊者利用被盜錢包的預授權所致。

「只要一次錯誤的授權，你就完了。這就是 DeFi 的黑暗面：開放授權雖然強大，但如果不小心也會致命，」分析師 Crypto Jargon 寫道。

這一觀點在社群中引起共鳴，警告聲再度響起。最佳實踐包括定期撤銷授權、避免點擊未驗證連結，以及使用硬體錢包而非僅依賴熱錢包。

Cyvers 在給 BeInCrypto 的聲明中確認了這一點：

「是的，這是用戶端錯誤，並非協議層級問題，」Cyvers 表示。

被盜資金尚未兌換，仍存放在攻擊者的合約地址中。

「這起事件顯示，即使是經驗豐富的 DeFi 用戶，仍然容易受到複雜釣魚詐騙的攻擊。攻擊者通過誘使受害者授權代幣，僅用一筆交易就從 Venus Protocol 盜走了2,700萬美元，」Cyvers 資深安全運營主管 Hakan Unal 表示。

在這樣的背景下，Unal 警告用戶不要在不熟悉的網站上點擊或批准任何操作，因為釣魚者經常偽裝成官方網站並進行細微的網域更改。

當被問及資金追回的希望時，這位安全專家表示，雖然可以提供漏洞賞金，但混幣服務幾乎讓資產追回變得不可能。

「雖然用戶可以在鏈上提供漏洞賞金，但大多數情況下，被盜資金最終都會進入混幣器，」Unal 補充道。

Bunni DEX 漏洞導致840萬美元損失

在另一事件中，建立於 Uniswap v4 之上的去中心化交易所（DEX）Bunni 遭遇漏洞攻擊，導致以太坊和 UniChain 上超過840萬美元資金被盜。

與 Venus 案例不同，這次事件是協議層級的真實漏洞。

Bunni 宣布，已暫停所有網路上的智能合約功能，團隊正在調查：

「Bunni 應用程式受到安全漏洞影響。為謹慎起見，我們已暫停所有網路上的智能合約功能，」該網路確認。

根據 GoPlus Security，這次漏洞源於 Bunni 自訂的流動性分配函數（LDF）存在弱點。

區塊鏈開發者 Victor Tran 解釋了攻擊者如何通過精心設計的交易規模操縱曲線。

1. Bunni 是一個運行於 UniswapV4 之上的流動性 hook。Bunni 沒有使用 UniswapV4 的標準系統，而是有自己的流動性曲線 LDF（Liquidity Distribution Function）。2. 每次交易後，Bunni 都會檢查其 LDF 曲線自上次交易以來是否發生變化。如果發生變化，…

— Victor Tran September 2, 2025

通過反覆觸發流動性再平衡過程中的計算錯誤，攻擊者能夠提取超出應有數量的代幣，在最終以兩次 swap 操作完成攻擊前，已經耗盡資金池。

Tran 強調，雖然 Bunni 的 hook 被攻破，但 Uniswap v4 本身並未受到影響。

這兩起事件凸顯了去中心化金融（DeFi）中創新與安全之間的脆弱平衡。

Venus Protocol 的損失突顯了人為因素，一次點擊就可能讓財富化為烏有。與此同時，Bunni 的漏洞則揭示了新機制精確性缺陷如何暴露流動性風險。

在這個數十億美元資產流動的市場裡，無論是人為還是技術失誤，都可能帶來毀滅性後果。

因此，隨著 DeFi 行業不斷擴展，用戶教育與協議嚴謹性將持續成為關鍵。