ヴィーナスプロトコルでの事件により、約3000万ドル相当の資産が失われた。多くの人が当初ハッキングを疑ったが、CyversのブロックチェーンセキュリティアナリストはBeInCryptoに対し、これはプロトコル自体の脆弱性ではなく、ユーザー側のミスであると確認した。
フィッシング詐欺でVenus Protocolユーザーが3000万ドルの被害、プロトコルのハッキングではない
PeckShieldは最初にこの疑わしい活動を指摘し、ヴィーナスプロトコルのユーザーがフィッシング詐欺の被害に遭い、約2700万ドルを失ったと報告した。
Sponsored攻撃者は、被害者を騙して悪意のある取引を承認させ、ウォレットから資産を無制限に移動できる権限を得た。
盗まれたトークンには、約1980万ドルのvUSDT、715万ドルのvUSDC、14万6000ドルのvXRP、2万2000ドルのvETH、さらに285BTCBが含まれており、観察者はこれを「世代を超えた富」と表現した。
DeFiアナリストのIgnasも意見を述べ、ビーナス自体は「意図通りに機能した」とし、事件は攻撃者が侵害されたウォレットからの事前承認を利用したことに起因すると指摘した。
一度の悪い承認で終わりだ。それがDeFiの暗黒面だ。オープンな承認は強力だが、注意しないと致命的だ
この意見はコミュニティ全体で共感を呼び、承認の定期的な取り消し、未確認リンクの回避、ホットウォレットに頼らずハードウェアウォレットを使用するなどのベストプラクティスに関する警告が再浮上した。
Sponsored SponsoredCyversはBeInCryptoへの声明でこれを確認した。
はい、ユーザー側のエラーであり、プロトコルレベルではありません
—— Cyvers
盗まれた資金は交換されず、攻撃者のコントラクトアドレスに保持されている。
この事件は、経験豊富なDeFiユーザーでさえ洗練されたフィッシングスキームに脆弱であることを示している。被害者を騙してトークン承認を与えさせることで、攻撃者はビーナスプロトコルから2700万ドルを単一の取引で奪うことができた
—— Cyvers セキュリティオペレーションリード ハカン・ウナル
Bunni DEXの脆弱性で840万ドル流出
別の事件では、Uniswap v4上に構築されたBunniという分散型取引所(DEX)が、イーサリアムとUniChainで840万ドル以上を流出させるエクスプロイトに遭った。
ヴィーナスプロトコルのケースとは異なり、これはプロトコルレベルでの本物の脆弱性だった。
Bunniは、チームが調査を進める中で、すべてのネットワークでスマートコントラクト機能を停止したと発表した。
Bunniアプリはセキュリティエクスプロイトの影響を受けた。予防措置として、すべてのネットワークでスマートコントラクト機能を停止した
—— Bunni
GoPlus Securityによれば、エクスプロイトはBunniのカスタム流動性分配機能(LDF)の弱点から発生した。
Sponsored Sponsoredブロックチェーン開発者のビクター・トランは、攻撃者が慎重にサイズを調整した取引でカーブを操作した方法を説明した。
流動性の再バランス中に誤算を繰り返し引き起こすことで、攻撃者は本来より多くのトークンを引き出し、プールを枯渇させた後、2つのスワップステップで攻撃を完了した。
Sponsoredトランは、Bunniのフックが侵害された一方で、Uniswap v4自体は影響を受けていないと強調した。この2つの事件は、分散型金融(DeFi)における革新とセキュリティの脆弱なバランスを浮き彫りにしている。
ヴィーナスプロトコルの損失は、1回のクリックで財産が消える可能性を示している。一方、Bunniのエクスプロイトは、新しいメカニズムの精度の欠陥が流動性を露呈する方法を明らかにしている。
数十億ドルがかかる市場では、人為的または技術的な1つのミスが壊滅的な結果を招く可能性がある。したがって、DeFiセクターが拡大する中で、ユーザー教育とプロトコルの厳格さが重要であり続ける。
