Venus Protocol pansamantalang itinigil matapos mawalan ng pondo ang user sa pinaghihinalaang phishing attack

Isang malaking user ng Venus Protocol, isang decentralized finance lender, ay nawalan ng humigit-kumulang $13.5 milyon matapos na tila pumirma ng isang malisyosong transaksyon na nagbigay ng token approvals sa isang umaatake, ayon sa mga blockchain security firms noong Martes.

Bilang tugon sa insidente, pansamantalang itinigil ng Venus ang kanilang platform habang isinasagawa ang imbestigasyon. “Alam namin ang kahina-hinalang transaksyon at aktibong iniimbestigahan ito,” ayon sa team sa X. “Pansamantalang naka-pause ang Venus kasunod ng mga security protocols.”

Ipinahayag ng PeckShield na ang biktima ay “nag-apruba ng isang malisyosong transaksyon,” na nagbigay-daan sa address na “0x7fd…6202a” na mailipat ang mga asset palabas ng wallet. Idinagdag ng CertiK na ang wallet ay tumawag sa isang updateDelegate function upang aprubahan ang umaatake bago naalis ang pondo, at nagbahagi ng transaction record sa BNB Chain.

Dagdag pa rito, sinabi ng mga moderator ng Venus Protocol sa mga user sa isang mensahe sa Telegram na ang protocol mismo ay “nanatiling hindi nagalaw,” bagaman doblehin ng mga engineer ang pagtiyak. "Para linawin, ang Venus Protocol ay HINDI na-exploit. Isang user ang naatake. Ligtas ang smart contract," ibinahagi ng X account ng proyekto sa gitna ng mga spekulasyon na ang mismong platform ang na-exploit.

Inilunsad noong 2020, ang Venus Protocol ay isang decentralized lending market na kilala sa deployment nito sa BNB Chain at karagdagang rollouts sa Ethereum, opBNB, Arbitrum, Optimism, at zkSync. Pinapayagan nito ang mga user na magbigay ng collateral, manghiram ng mga asset, at mag-mint ng VAI stablecoin, na may governance sa pamamagitan ng XVS token. Ang XVS ay bumagsak ng hanggang 9% kasunod ng isyu, bago bahagyang bumawi ayon sa Tradingview data.

Ang pinaghihinalaang attack vector ay sumasalamin sa isang karaniwang isyu sa DeFi failure. Niloloko ng mga phishing scammer ang mga user na pumirma ng token approvals na nagpapahintulot sa mga third party na ilipat ang mga asset. Kapag naibigay na, maaaring gamitin ang mga pahintulot na ito upang ma-drain ang pondo hanggang sa ma-revoke ang mga permissions. Ayon sa mid-year report ng blockchain security firm na CertiK, umabot sa $410 milyon ang nawalang pondo ng mga crypto user mula sa phishing attacks sa unang kalahati ng 2025 sa kabuuang 132 insidente. Sa hiwalay na ulat mula sa Hacken, isa pang Web3 security firm, tinatayang $600 milyon ang nawala partikular mula sa phishing at social engineering schemes sa parehong panahon.