Sebuah insiden dramatis di Venus Protocol mengakibatkan hilangnya aset senilai hampir US$30 juta.
Walaupun banyak yang awalnya menduga adanya peretasan, analis keamanan blockchain di Cyvers mengonfirmasi kepada BeInCrypto bahwa ini adalah kesalahan dari sisi pengguna, bukan kerentanan dalam protokol itu sendiri.
Penipuan Phishing Merugikan Pengguna Venus Protocol Sebesar US$30 Juta, Bukan Peretasan Protokol
SponsoredPeckShield pertama kali menandai aktivitas mencurigakan ini, mencatat bahwa seorang pengguna Venus Protocol telah kehilangan sekitar US$27 juta setelah menjadi korban penipuan phishing.
Penyerang mendapatkan akses dengan menipu korban untuk menyetujui transaksi berbahaya, yang memberikan izin tak terbatas untuk mentransfer aset dari wallet.
Token yang dicuri termasuk sekitar US$19,8 juta dalam vUSDT, US$7,15 juta dalam vUSDC, US$146,000 dalam vXRP, US$22,000 dalam vETH, dan bahkan 285 BTCB, yang digambarkan pengamat sebagai “kekayaan generasi.”
Analis DeFi Ignas juga memberikan pandangannya, menyatakan bahwa Venus sendiri “bekerja sesuai yang diharapkan” dan insiden ini berasal dari penyerang yang mengeksploitasi otorisasi yang telah disetujui sebelumnya dari wallet yang dikompromikan.
“Satu persetujuan buruk dan boom—Anda selesai. Itulah sisi gelap DeFi: persetujuan terbuka sangat kuat, tapi juga mematikan jika Anda tidak berhati-hati,” tulis analis Crypto Jargon.
Sentimen ini digaungkan di seluruh komunitas saat peringatan muncul kembali tentang praktik terbaik: secara teratur mencabut persetujuan, menghindari tautan yang tidak diverifikasi, dan menggunakan hardware wallet daripada hanya mengandalkan hot wallet.
Sponsored SponsoredCyvers mengonfirmasi hal ini dalam pernyataan kepada BeInCrypto:
“Ya, kesalahan dari sisi pengguna bukan di tingkat protokol,” terang Cyvers.
Dananya yang dicuri tetap belum ditukar, disimpan di alamat kontrak penyerang.
“Insiden ini menunjukkan bahwa bahkan pengguna DeFi berpengalaman tetap rentan terhadap skema phishing yang canggih. Dengan menipu korban untuk memberikan persetujuan token, penyerang dapat menguras US$27 juta dari Venus Protocol dalam satu transaksi,” ujar Hakan Unal, Senior Security Operation Lead di Cyvers.
Eksploitasi Bunni DEX Menguras US$8,4 Juta
Dalam insiden terpisah, Bunni, sebuah decentralized exchange (DEX) yang dibangun di atas Uniswap v4, mengalami eksploitasi yang menguras lebih dari US$8,4 juta di Ethereum dan UniChain.
SponsoredTidak seperti kasus Venus, ini adalah kerentanan nyata di tingkat protokol.
Bunni mengumumkan bahwa mereka telah menghentikan semua fungsi smart contract di seluruh jaringan saat timnya menyelidiki:
“Aplikasi Bunni telah terkena eksploitasi keamanan. Sebagai tindakan pencegahan, kami telah menghentikan semua fungsi smart contract di semua jaringan,” konfirmasi jaringan tersebut mengonfirmasi.
Menurut GoPlus Security, eksploitasi ini berasal dari kelemahan dalam Fungsi Distribusi Likuiditas (LDF) kustom Bunni.
Victor Tran, seorang pengembang blockchain, menjelaskan bagaimana penyerang memanipulasi kurva dengan perdagangan yang diatur dengan cermat.
Dengan berulang kali memicu kesalahan perhitungan selama penyeimbangan kembali likuiditas, penyerang dapat menarik lebih banyak token daripada yang seharusnya, menguras pool sebelum menyelesaikan serangan dengan dua langkah swap.
Tran menekankan bahwa meskipun hook Bunni dikompromikan, Uniswap v4 sendiri tetap tidak terpengaruh.
Kedua insiden ini menyoroti keseimbangan rapuh antara inovasi dan keamanan dalam decentralized finance (DeFi).
Kerugian Venus Protocol menyoroti elemen manusia, di mana satu klik dapat menghapus kekayaan. Sementara itu, eksploitasi Bunni mengungkapkan bagaimana ketidaktepatan mekanisme baru dapat mengekspos likuiditas.
Di pasar di mana miliaran dipertaruhkan, satu kesalahan, baik manusia maupun teknis, dapat terbukti menghancurkan.
Oleh karena itu, seiring dengan berkembangnya sektor DeFi, edukasi pengguna dan ketelitian protokol akan tetap menjadi hal yang krusial.
