Trader sa Venus Protocol Nalugi ng $30 Million Dahil sa Matinding Error, Kumpirmado ng Cyvers

Isang matinding insidente sa Venus Protocol ang nagresulta sa pagkawala ng halos $30 milyon na halaga ng assets.

Habang marami ang unang nag-akala na ito ay isang hack, kinumpirma ng mga blockchain security analyst sa Cyvers sa BeInCrypto na ito ay pagkakamali sa user-side, hindi sa protocol mismo.

Phishing Scam, Hindi Protocol Hack, Nagdulot ng $30 Million na Pagkawala sa Venus Protocol User

Unang na-flag ng PeckShield ang kahina-hinalang aktibidad, kung saan isang user ng Venus Protocol ang nawalan ng humigit-kumulang $27 milyon matapos mabiktima ng phishing scam.

#PeckShieldAlert A user of @VenusProtocol has been drained ~$27M in crypto after falling for a #phishing scam.
The victim approved a malicious transaction, granting token approval to the attacker's address (0x7fd8…202a) for asset transfer. pic.twitter.com/NwkVlDxxOZ
— PeckShieldAlert (@PeckShieldAlert) September 2, 2025

Nakuha ng attacker ang access sa pamamagitan ng panlilinlang sa biktima na aprubahan ang isang malicious na transaksyon, na nagbigay ng unlimited na permiso para ilipat ang mga assets mula sa wallet.

Kabilang sa mga ninakaw na tokens ang nasa $19.8 milyon sa vUSDT, $7.15 milyon sa vUSDC, $146,000 sa vXRP, $22,000 sa vETH, at 285 BTCB, na tinawag ng mga observer na “generational wealth.”

Nagbigay din ng opinyon ang DeFi analyst na si Ignas, sinabi na ang Venus mismo ay “gumagana ayon sa inaasahan” at ang insidente ay nagmula sa pag-exploit ng attacker sa pre-approved authorizations mula sa compromised na wallet.

“Isang maling approval at boom—tapos ka na. Yan ang dark side ng DeFi: ang open approvals ay malakas, pero delikado kung hindi ka maingat,” sulat ng analyst na si Crypto Jargon.

Ang ganitong damdamin ay umalingawngaw sa buong komunidad habang muling lumitaw ang mga babala tungkol sa best practices: regular na pag-revoke ng approvals, pag-iwas sa unverified links, at paggamit ng hardware wallets imbes na umasa lang sa hot wallets.

Kumpirmado ito ng Cyvers sa isang pahayag sa BeInCrypto:

“Oo, error sa user side hindi sa protocol level,” sabi ng Cyvers.

Ang mga ninakaw na pondo ay nananatiling hindi pa naisaswap, hawak sa contract address ng attacker.

“Ipinapakita ng insidenteng ito na kahit ang mga experienced na DeFi users ay nananatiling vulnerable sa mga sophisticated na phishing schemes. Sa pamamagitan ng panlilinlang sa biktima na magbigay ng token approvals, nagawa ng attacker na ma-drain ang $27M mula sa Venus Protocol sa isang transaksyon” sabi ni Hakan Unal, Senior Security Operation Lead sa Cyvers.

Bunni DEX Na-Exploit, $8.4 Million ang Nawala

Sa isang hiwalay na insidente, ang Bunni, isang decentralized exchange (DEX) na nakabase sa Uniswap v4, ay nakaranas ng exploit na nag-drain ng mahigit $8.4 milyon sa Ethereum at UniChain.

Hindi tulad ng kaso sa Venus, ito ay isang tunay na vulnerability sa protocol level.

Inanunsyo ng Bunni na pinahinto nila ang lahat ng smart contract functions sa lahat ng networks habang iniimbestigahan ng kanilang team:

“Ang Bunni app ay naapektuhan ng isang security exploit. Bilang pag-iingat, pinahinto namin ang lahat ng smart contract functions sa lahat ng networks,” kinumpirma ng network kinumpirma.

Ayon sa GoPlus Security, ang exploit ay nagmula sa kahinaan sa custom Liquidity Distribution Function (LDF) ng Bunni.

Ipinaliwanag ni Victor Tran, isang blockchain developer, kung paano na-manipulate ng attacker ang curve gamit ang maingat na sized trades.

1. Bunni is a liquidity hook that runs on top of UniswapV4. Instead of using UniswapV4’s normal system, Bunni has its own liquidity curve called LDF (Liquidity Distribution Function).

2. After each trade, Bunni checks if its LDF curve has changed since the last trade. If it has,… https://t.co/uCSWXyuAt2
— Victor Tran (@vutran54) September 2, 2025

Sa pamamagitan ng paulit-ulit na pag-trigger ng miscalculations sa panahon ng liquidity rebalancing, nagawa ng exploiter na mag-withdraw ng mas maraming tokens kaysa sa dapat, na-drain ang pools bago tapusin ang attack gamit ang dalawang swap steps.

Binigyang-diin ni Tran na habang ang hook ng Bunni ay na-kompromiso, ang Uniswap v4 mismo ay nanatiling hindi apektado.

Ang magkasunod na insidente ay nagha-highlight sa maselang balanse sa pagitan ng innovation at security sa decentralized finance (DeFi).

Ang pagkawala sa Venus Protocol ay nagpapakita ng human element, kung saan isang click lang ay pwedeng magbura ng kayamanan. Samantala, ang exploit sa Bunni ay nagpapakita kung paano ang precision flaws sa mga bagong mekanismo ay pwedeng mag-expose ng liquidity.

Sa isang market kung saan bilyon-bilyon ang nakataya, isang pagkakamali, maging ito man ay human o technical, ay pwedeng magdulot ng matinding pinsala.

Kaya naman, habang lumalawak ang DeFi sector, mananatiling kritikal ang edukasyon ng user at ang rigor ng protocol.

Disclaimer

Alinsunod sa mga patakaran ng Trust Project, ang opinion article na ito ay nagpapahayag ng opinyon ng may-akda at maaaring hindi kumakatawan sa mga pananaw ng BeInCrypto. Nananatiling committed ang BeInCrypto sa transparent na pag-uulat at pagpapanatili ng pinakamataas na pamantayan ng journalism. Pinapayuhan ang mga mambabasa na i-verify ang impormasyon sa kanilang sariling kakayahan at kumonsulta sa isang propesyonal bago gumawa ng anumang desisyon base sa nilalamang ito. Paalala rin na ang aming Terms and Conditions, Privacy Policy, at Disclaimers ay na-update na.