Venus Protocol’da yaşanan dramatik bir olay, yaklaşık 30 milyon Dolar değerinde varlığın kaybına yol açtı.
Birçok kişi başlangıçta bir hack olduğunu düşünse de, Cyvers’teki blockchain güvenlik analistleri BeInCrypto’ya bunun protokoldeki bir zayıflıktan değil, kullanıcı tarafında yapılan bir hatadan kaynaklandığını doğruladı.
Phishing Dolandırıcılığı Venus Protocol Kullanıcısına 30 Milyon Dolar Kaybettirdi, Protokol Hack’i Değil
SponsoredPeckShield, şüpheli aktiviteyi ilk fark eden oldu ve bir Venus Protocol kullanıcısının bir phishing saldırısına kurban giderek yaklaşık 27 milyon Dolar kaybettiğini belirtti.
Saldırgan, kurbanı kötü niyetli bir işlemi onaylamaya ikna ederek cüzdandan sınırsız varlık transferi izni aldı.
Çalınan token’lar arasında yaklaşık 19,8 milyon Dolar değerinde vUSDT, 7,15 milyon Dolar değerinde vUSDC, 146.000 Dolar değerinde vXRP, 22.000 Dolar değerinde vETH ve hatta 285 BTCB bulunuyordu. Gözlemciler bu durumu “nesiller boyu servet” olarak tanımladı.
Defi analisti Ignas da bu duruma dikkat çekerek Venus’un “beklendiği gibi çalıştığını” ve olayın saldırganın, ele geçirilen cüzdandan önceden onaylanmış yetkilendirmeleri kullanarak gerçekleştirdiğini belirtti.
“Bir kötü onay ve pat—işiniz bitti. DeFi’nin karanlık tarafı bu: açık onaylar güçlüdür, ancak dikkatli olmazsanız ölümcül olabilir,” diye yazdı analist Crypto Jargon.
Topluluk genelinde bu görüş yankı buldu ve en iyi uygulamalar hakkında uyarılar yeniden gündeme geldi: onayları düzenli olarak iptal etmek, doğrulanmamış bağlantılardan kaçınmak ve sadece sıcak cüzdanlara güvenmek yerine donanım cüzdanları kullanmak.
Sponsored SponsoredCyvers, BeInCrypto’ya yaptığı açıklamada bunu doğruladı:
“Evet, kullanıcı tarafı hatası, protokol seviyesinde değil,” diye belirtti Cyvers.
Çalınan fonlar henüz takas edilmedi ve saldırganın kontrat adresinde tutuluyor.
“Bu olay, deneyimli DeFi kullanıcılarının bile sofistike phishing saldırılarına karşı savunmasız kalabileceğini gösteriyor. Kurbanı token onayları vermeye ikna ederek, saldırgan tek bir işlemle Venus Protocol’dan 27 milyon Dolar çekebildi” dedi Cyvers’ten Kıdemli Güvenlik Operasyon Lideri Hakan Ünal.
Bunni DEX Açığı 8,4 Milyon Dolar Çaldı
Ayrı bir olayda, Uniswap v4 üzerine inşa edilen Bunni adlı bir merkeziyetsiz kripto para borsası (DEX), Ethereum ve UniChain üzerinde 8,4 milyon Dolar’dan fazla kayba neden olan bir saldırıya uğradı.
SponsoredVenus olayının aksine, bu durum protokol seviyesinde gerçek bir zayıflıktan kaynaklanıyordu.
Bunni, ekibinin araştırma yaparken tüm akıllı kontrat işlevlerini durdurduğunu duyurdu:
“Bunni uygulaması bir güvenlik açığından etkilendi. Önlem olarak, tüm ağlarda akıllı kontrat işlevlerini durdurduk,” diye doğruladı ağ.
GoPlus Security’ye göre, bu açık Bunni’nin özel Likidite Dağıtım Fonksiyonu (LDF) zayıflıklarından kaynaklanıyordu.
Blockchain geliştiricisi Victor Tran, saldırganın dikkatlice boyutlandırılmış işlemlerle eğriyi nasıl manipüle ettiğini açıkladı.
Likidite yeniden dengeleme sırasında yanlış hesaplamaları tekrar tekrar tetikleyerek, saldırgan olması gerekenden daha fazla token çekebildi ve havuzları boşaltarak saldırıyı iki takas adımıyla tamamladı.
Tran, Bunni’nin kancasının tehlikeye girdiğini ancak Uniswap v4‘ün kendisinin etkilenmediğini vurguladı.
Bu iki olay, merkeziyetsiz finans (DeFi) alanında yenilik ve güvenlik arasındaki hassas dengeyi gözler önüne seriyor.
Venus Protocol’un kaybı, insan faktörünü vurgularken, tek bir tıklamanın servetleri silebileceğini gösteriyor. Öte yandan, Bunni’nin açığı, yeni mekanizmaların hassasiyet hatalarının likiditeyi nasıl tehlikeye atabileceğini ortaya koyuyor.
Milyarlarca Dolar’ın söz konusu olduğu bir piyasada, ister insan ister teknik bir hata olsun, tek bir hata yıkıcı olabilir.
Bu nedenle, DeFi sektörü genişledikçe, kullanıcı eğitimi ve protokol titizliği kritik olmaya devam edecek.
