forklog.com
Пользователь лендинговой платформы Venus на BNB Chain потерял активы на сумму около $27 млн в результате фишинговой атаки, сообщили в PeckShield.
#PeckShieldAlert A user of @VenusProtocol has been drained ~$27M in crypto after falling for a #phishing scam.
— PeckShieldAlert (@PeckShieldAlert) September 2, 2025
The victim approved a malicious transaction, granting token approval to the attacker's address (0x7fd8…202a) for asset transfer. pic.twitter.com/NwkVlDxxOZ
По данным аналитиков, он одобрил вредоносную транзакцию. Это предоставило злоумышленнику разрешение на перевод токенов с кошелька жертвы.
Информацию подтвердили эксперты Cyvers. Они подчеркнули, что причиной стала фишинговая атака.
🚨ALERT🚨27M suspicious transaction has been detected involving a user of @VenusProtocol on the #BNBChain
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) September 2, 2025
The user unknowingly approved a malicious transaction, granting token permissions that resulted in the loss of $27M in digital assets.
The stolen funds are currently held… pic.twitter.com/WekHEicyec
По данным специалистов, с пострадавшего кошелька вывели около $19,8 млн в Venus USDT (vUSDT) и $7,15 млн в Venus USDC (vUSDC).
В компании заверили, что инцидент не связан с уязвимостью в смарт-контрактах платформы. Представители проекта предположили, что причиной стала ошибка самого трейдера.
We are aware of the suspicious transaction and are actively investigating.
— Venus Protocol (@VenusProtocol) September 2, 2025
Venus is currently paused following security protocols. We will keep you all updated as soon as we know more.
Что говорят в сообществе
Основатель Pink Brains под псевдонимом Ignas проанализировал инцидент с помощью ChatGPT. По данным ИИ, атака стала возможной из-за неосторожных действий владельца кошелька.
'Venus exploited for $40M' headline might be wrong.
— Ignas | DeFi (@DefiIgnas) September 2, 2025
I tested AI limits by feeding ChatGPT Thinking model with the tx. It can the read the explorer!
It says Venus worked as intended. If it's true, I won't need smart contract explanatooors anymore lol
Anyway, the AI read into… pic.twitter.com/g6MXHhngBe
Согласно анализу транзакции, злоумышленник воспользовался ранее выданными разрешениями на взаимодействие с активами в кошельке кита.
Атака проходила в несколько этапов:
- Хакер погасил долг пользователя, чтобы разблокировать его залоговые активы.
- Используя разрешения, он занял USDC на свой адрес.
- Затем вывел vTokens на свой кошелек.
В результате адрес пользователя был опустошен. Ignas отметил, что если выводы ИИ верны, инцидент подчеркивает важность управления разрешениями для DeFi-приложений.
Он порекомендовал пользователям регулярно проверять и отзывать неограниченные или неиспользуемые одобрения для всех активов, чтобы минимизировать риски. Исследователь также добавил, что способность ИИ анализировать транзакции в блокчейн-эксплорере выводит технологию на «следующий уровень».
Трейдер под ником Crypto Jargon также подтвердил, что пользователь предоставил неограниченный доступ к своим токенам через вредоносное разрешение.
A Venus Protocol user just lost $27M in a single click. 🚨
— Crypto Jargon (@Crypto_Jargon) September 2, 2025
Here’s what happened:
They approved a shady transaction, unknowingly giving unlimited access to their tokens. Attacker’s burner wallet (0x7fd8…202a) didn’t waste a second, assets got drained instantly.
We’re talking… pic.twitter.com/PVZmqJSXC0
Эксперт призвал пользователей к осторожности и напомнил об основных правилах безопасности:
- не переходить по подозрительным ссылкам;
- тщательно проверять каждую транзакцию перед ее подтверждением;
- регулярно отзывать разрешения для децентрализованных приложений;
- использовать аппаратные кошельки для хранения крупных сумм.
Он также отметил, что на бычьем рынке активность мошенников традиционно возрастает.
Децентрализованная биржа Bunni лишилась $2,3 млн из-за уязвимости в смарт-контрактах на базе Ethereum. Аналитики Blocksec сообщили, что злоумышленник вывел $1,33 млн в USDC и $1,04 млн в USDT.
ALERT! Our system detected a suspicious transaction targeting @bunni_xyz ’s contract on #Ethereum, and the loss is ~$2.3M. Please take actions ASAP.
— BlockSec Phalcon (@Phalcon_xyz) September 2, 2025
Один из основных разработчиков Bunni призвал пользователей немедленно вывести средства.
If you have money on @bunni_xyz remove it ASAP. https://t.co/CXms5U19eZ
— silent ₱ (@Psaul26ix) September 2, 2025
Команда проекта подтвердила факт взлома. В качестве меры предосторожности разработчики приостановили работу смарт-контрактов во всех сетях и начали расследование.
🚨 The Bunni app has been affected by a security exploit. As a precaution, we have paused all smart contract functions on all networks. Our team is actively investigating and will provide updates soon. Thank you for your patience.
— Bunni (@bunni_xyz) September 2, 2025
Напомним, в марте разработчики Venus сообщили о сбое работы оракула Binance, который привел к утрате $274 000.
Потери от взломов криптопроектов в августе достигли $163 млн