Un incidente dramático en Venus Protocol ha resultado en la pérdida de casi 30 millones de dólares en activos.
Mientras que muchos inicialmente sospecharon de un hack, analistas de seguridad de blockchain en Cyvers confirmaron a BeInCrypto que esto fue un error del lado del usuario, no una vulnerabilidad en el protocolo en sí.
Estafa de phishing cuesta a usuario de Venus Protocol 30 millones de dólares, no un hack del protocolo
SponsoredPeckShield fue el primero en señalar la actividad sospechosa, notando que un usuario de Venus Protocol había sido despojado de aproximadamente 27 millones de dólares tras caer víctima de una estafa de phishing.
El atacante obtuvo acceso engañando a la víctima para que aprobara una transacción maliciosa, lo que le dio permisos ilimitados para transferir activos del monedero.
Los tokens robados incluyeron alrededor de 19,8 millones de dólares en vUSDT, 7,15 millones de dólares en vUSDC, 146,000 dólares en vXRP, 22,000 dólares en vETH, e incluso 285 BTCB, representando lo que los observadores describieron como “riqueza generacional”.
El analista de DeFi Ignas también opinó, notando que Venus en sí “funcionó como se esperaba” y que el incidente se originó cuando el atacante explotó autorizaciones preaprobadas del monedero comprometido.
Sponsored Sponsored“Una mala aprobación y boom—estás acabado. Ese es el lado oscuro de DeFi: las aprobaciones abiertas son poderosas, pero también mortales si no tienes cuidado,” escribió el analista Crypto Jargon.
El sentimiento fue compartido en toda la comunidad mientras resurgían advertencias sobre las mejores prácticas: revocar aprobaciones regularmente, evitar enlaces no verificados y usar hardware wallets en lugar de depender únicamente de hot wallets. Cyvers confirmó esto en una declaración a BeInCrypto:
“Sí, error del lado del usuario, no a nivel de protocolo,” articuló Cyvers.
Los fondos robados permanecen sin intercambiar, mantenidos en la dirección del contrato del atacante.
“Este incidente muestra que incluso los usuarios experimentados de DeFi siguen siendo vulnerables a esquemas de phishing sofisticados. Al engañar a la víctima para que otorgara aprobaciones de tokens, el atacante pudo drenar 27 millones de dólares de un Venus Protocol en una sola transacción” dijo Hakan Unal, Líder de Operaciones de Seguridad Senior en Cyvers.
Exploit en el DEX Bunni drena 8,4 millones de dólares
En un incidente separado, Bunni, un exchange descentralizado (DEX) construido sobre Uniswap v4, sufrió un exploit que drenó más de 8,4 millones de dólares a través de Ethereum y UniChain. A diferencia del caso de Venus, esto fue una vulnerabilidad genuina a nivel de protocolo.
Bunni anunció que había pausado todas las funciones de contratos inteligentes en todas las redes mientras su equipo investiga:
“La aplicación Bunni ha sido afectada por un exploit de seguridad. Como precaución, hemos pausado todas las funciones de contratos inteligentes en todas las redes,” la red confirmó.
Según GoPlus Security, el exploit se originó por debilidades en la Función de Distribución de Liquidez (LDF) personalizada de Bunni.
Sponsored SponsoredVictor Tran, un desarrollador de blockchain, explicó cómo el atacante manipuló la curva con operaciones cuidadosamente dimensionadas.
Al desencadenar repetidamente cálculos erróneos durante el reequilibrio de liquidez, el hacker pudo retirar más tokens de los que debería, vaciando los pools antes de finalizar el ataque con dos pasos de swap. Tran enfatizó que aunque el gancho de Bunni fue comprometido, Uniswap v4 en sí permaneció sin afectar.
Los incidentes destacan el frágil equilibrio entre la innovación y la seguridad en finanzas descentralizadas (DeFi). La pérdida de Venus Protocol resalta el elemento humano, donde un solo clic puede borrar fortunas. Mientras tanto, el exploit de Bunni revela cómo las fallas de precisión en mecanismos novedosos pueden exponer la liquidez.
En un mercado donde hay billones en juego, un error, ya sea humano o técnico, puede resultar devastador. Por lo tanto, a medida que el sector DeFi se expande, la educación del usuario y el rigor del protocolo seguirán siendo críticos.
