Venus Protocol-да болған драмалық оқиға шамамен 30 млн доллар активтердің жоғалуына әкелді.
Көптеген адамдар бастапқыда хакерлік шабуыл деп күдіктенгенімен, Cyvers-тегі блокчейн қауіпсіздік сарапшылары BeInCrypto-ға бұл протоколдың өзінде емес, пайдаланушы тарапынан жіберілген қате екенін растады.
Фишингтік алаяқтық Venus Protocol қолданушысына 30 млн доллар шығын келтірді, бұл протоколды бұзу емес
PeckShield күдікті әрекетті алғаш рет байқады, Venus Protocol пайдаланушысы фишингтік алаяқтықтың құрбаны болып, шамамен 27 млн долларынан айырылғанын атап өтті.
Шабуылдаушы құрбанды зиянды транзакцияны мақұлдауға алдап, әмияннан активтерді шексіз тасымалдауға рұқсат алды.
Ұрланған токендерге шамамен 19,8 млн доллар vUSDT, 7,15 млн доллар vUSDC, 146 000 доллар vXRP, 22 000 доллар vETH және тіпті 285 BTCB кірді, бұл бақылаушылар «ұрпақтық байлық» деп сипаттады.
Defi сарапшысы Игнас та пікір білдіріп, Venus-тің өзі «көзделгендей жұмыс істегенін» және оқиғаның шабуылдаушының бұзылған әмияннан алдын ала мақұлданған рұқсаттарды пайдалануынан туындағанын атап өтті.
«Бір жаман мақұлдау және бум — сіз біттіңіз. Бұл DeFi-дің қараңғы жағы: ашық мақұлдаулар күшті, бірақ егер сіз абай болмасаңыз, өлімге әкелуі мүмкін», – деп жазды сарапшы Crypto Jargon.
Қоғамдастықта бұл пікір қайталанып, ең жақсы тәжірибелер туралы ескертулер қайта пайда болды: мақұлдауларды үнемі қайтарып алу, тексерілмеген сілтемелерден аулақ болу және тек ыстық әмияндарға сенудің орнына аппараттық әмияндарды пайдалану.
Cyvers мұны BeInCrypto-ға берген мәлімдемесінде растады:
«Иә, пайдаланушы тарапынан қате, протокол деңгейінде емес», – деп Cyvers нақтылады.
Ұрланған қаражат шабуылдаушының келісімшарт мекенжайында айырбасталмай сақталуда.
«Бұл оқиға тәжірибелі DeFi пайдаланушыларының да күрделі фишингтік схемаларға осал екенін көрсетеді. Құрбанды токендерді мақұлдауға алдап, шабуылдаушы Venus Protocol-дан бір транзакцияда 27 млн долларды шығарып алды», – деді Cyvers-тің аға қауіпсіздік операцияларының жетекшісі Хакан Унал.
Bunni DEX эксплойты 8,4 млн долларды шығындады
Бөлек оқиғада, Bunni, Uniswap v4 негізінде құрылған орталықтандырылмаған биржа (DEX), Ethereum және UniChain бойынша 8,4 млн доллардан астам қаражатты жоғалтқан шабуылға ұшырады.
Venus жағдайынан айырмашылығы, бұл протокол деңгейіндегі шынайы осалдық болды.
Bunni командасы зерттеу жүргізіп жатқан кезде барлық смарт келісімшарт функцияларын тоқтатқанын хабарлады:
«Bunni қолданбасы қауіпсіздік шабуылына ұшырады. Сақтық шарасы ретінде біз барлық желілердегі смарт келісімшарт функцияларын тоқтаттық», – деп желі растады.
GoPlus Security мәліметінше, шабуыл Bunni-дің арнайы Өтімділікті Бөлу Функциясындағы (LDF) әлсіздіктерден туындаған.
Блокчейн әзірлеушісі Виктор Тран шабуылдаушының мұқият өлшемделген сауда-саттықтармен қисықты қалай манипуляциялағанын түсіндірді.
Өтімділікті теңестіру кезінде қателіктерді қайталап тудыра отырып, шабуылдаушы өздеріне тиесілі мөлшерден артық токендерді шығарып, шабуылды екі айырбастау қадамымен аяқтамас бұрын пулдарды босатты.
Тран Bunni-дің ілмегі бұзылғанымен, Uniswap v4 өзіне әсер етпегенін атап өтті.
Бұл қос оқиға орталықтандырылмаған қаржы (DeFi) саласындағы инновация мен қауіпсіздік арасындағы нәзік тепе-теңдікті көрсетеді.
Venus Protocol-дың жоғалуы адам факторын көрсетеді, мұнда бір ғана басу байлықты жоя алады. Сонымен қатар, Bunni-дің шабуылы жаңа механизмдердің дәлдік кемшіліктері өтімділікті қалай ашатынын көрсетеді.
Миллиардтаған доллар тәуекелге тігілген нарықта, бір қате, адамдық немесе техникалық болсын, жойқын болуы мүмкін.
Сондықтан, DeFi секторы кеңейген сайын, пайдаланушыларды оқыту және протоколдың қатаңдығы маңызды болып қала береді.
