Venus Protocol sospende le operazioni dopo che un utente perde fondi in un sospetto attacco di phishing

Un grande utente di Venus Protocol, un prestatore di finanza decentralizzata, è stato derubato di circa 13,5 milioni di dollari dopo aver apparentemente firmato una transazione dannosa che ha concesso approvazioni di token a un attaccante, hanno dichiarato martedì le società di sicurezza blockchain.

In risposta all'incidente, Venus ha sospeso la sua piattaforma in attesa di un'indagine. “Siamo a conoscenza della transazione sospetta e stiamo indagando attivamente,” ha scritto il team su X. “Venus è attualmente in pausa seguendo i protocolli di sicurezza.”

PeckShield ha affermato che la vittima “ha approvato una transazione dannosa,” permettendo all'indirizzo “0x7fd…6202a” di trasferire asset fuori dal wallet. CertiK ha aggiunto che il wallet aveva chiamato una funzione updateDelegate per approvare l'attaccante prima che i fondi venissero sottratti, condividendo un record di transazione su BNB Chain.

Inoltre, i moderatori di Venus Protocol hanno comunicato agli utenti in un messaggio su Telegram che il protocollo stesso “rimane intatto,” anche se gli ingegneri stanno ricontrollando per sicurezza. "Per chiarire, Venus Protocol NON è stato sfruttato. Un utente è stato attaccato. Lo smart contract è sicuro," ha condiviso l'account X del progetto in mezzo alle speculazioni che la piattaforma stessa fosse stata compromessa.

Lanciato nel 2020, Venus Protocol è un mercato di prestito decentralizzato noto soprattutto per il suo utilizzo su BNB Chain e ulteriori implementazioni su Ethereum, opBNB, Arbitrum, Optimism e zkSync. Permette agli utenti di fornire collaterale, prendere in prestito asset e coniare la stablecoin VAI, con governance tramite il token XVS. XVS è sceso fino al 9% durante il problema, prima di recuperare leggermente al momento della scrittura, secondo i dati di Tradingview.

Il vettore di attacco sospettato richiama un problema comune nei fallimenti DeFi. Gli scammer di phishing ingannano gli utenti facendoli firmare approvazioni di token che permettono a terzi di muovere asset. Una volta concesse, tali autorizzazioni possono essere utilizzate per svuotare i fondi finché i permessi non vengono revocati. Secondo il rapporto di metà anno della società di sicurezza blockchain CertiK, gli attacchi di phishing hanno rappresentato 410 milioni di dollari di perdite per gli utenti crypto nella prima metà del 2025 in 132 incidenti. Un rapporto separato di Hacken, un'altra società di sicurezza Web3, stima 600 milioni di dollari di perdite specificamente da phishing e schemi di ingegneria sociale nello stesso periodo.