Plotki w kryptowalutach rozchodzą się szybko. Wczoraj, szepty o exploicie na Venus Protocol wywołały wstrząs na platformie X. Początkowo niektórzy myśleli, że sam protokół pożyczkowy został naruszony.
Ale godziny wspólnej analizy wyjaśniły sytuację - Venus nie został zhakowany. Zamiast tego, atak phishingowy złapał w pułapkę wieloryba, drenując aktywa o wartości 27 milionów dolarów w jednej złej transakcji.
To nie była awaria protokołu. To był błąd ludzki. I jest to surowe przypomnienie o największej słabości DeFi: jedno nieostrożne kliknięcie może zniszczyć fortunę.
Ofiara zatwierdziła złośliwą transakcję z fałszywej strony. Ten pojedynczy podpis dał portfelowi atakującego, 0x7fd8…202a, nieograniczony dostęp do jego tokenów.
Gdy zatwierdzenie zostało udzielone, atakujący uderzył natychmiast. Aktywa zniknęły w ciągu sekund. Według Cyvers Alerts
A oto, co zostało wyczerpane:
19,8 mln $ vUSDT
7,15 mln $ vUSDC
146 tys. $ vXRP
22 tys. $ vETH
Nawet 285 BTCB na BNB Chain
Majątek pokoleniowy przepadł. Tak po prostu.
Dziwna część: Venus nigdy nie został zhakowany
Venus Protocol potwierdził na X
że ich kontrakty były bezpieczne. Frontend? W porządku. Brak luk w inteligentnych kontraktach. Brak exploitów kodu.
To była czysta inżynieria społeczna. Fałszywy link, zaufane kliknięcie i boom, otwarte zatwierdzenia zrobiły resztę.
To ciemna strona mocy DeFi. Nieograniczone zatwierdzenia tokenów sprawiają, że DeFi jest płynne i szybkie. Ale zamieniają też każdy portfel w tykającą bombę zegarową, jeśli zatwierdzenia trafią w niepowołane ręce.
Reakcja społeczności: Szok i współczucie
Kryptowalutowy Twitter rozświetlił się reakcjami. Niektórzy wyrażali współczucie dla wieloryba; inni widzieli to jako kolejne ostrzeżenie.
Zauważył, jak atakujący cierpliwie czekają na jeden nieostrożny moment. Link phishingowy prawdopodobnie krążył przez dni, zanim ofiara kliknęła.
Venus Protocol od tego czasu wstrzymał części platformy, pracując bezpośrednio z ofiarą. Opcje odzyskiwania pozostają niewielkie, ale wysiłki trwają.
Dlaczego phishing wciąż wygrywa w DeFi
DeFi usuwa pośredników. To jest piękno i niebezpieczeństwo. Ty trzymasz klucze. Ty podpisujesz transakcje. Nie ma obsługi klienta, jeśli coś pójdzie nie tak.
Phisherzy wykorzystują to perfekcyjnie:
- Fałszywe strony kopiują prawdziwe piksel po pikselu.
- Boty na Twitterze odpowiadają pod oficjalnymi ogłoszeniami z "pilnymi" linkami.
- Nieograniczone zatwierdzenia oznaczają, że atakujący potrzebują dostępu tylko raz.
W TradFi banki mogą cofnąć oszukańcze przelewy. W DeFi niezmienność blockchainu oznacza, że gdy aktywa opuszczą twój portfel, są stracone.
Wyciągnięte wnioski: Jak zachować bezpieczeństwo
Incydent Venus podkreśla proste, ale kluczowe kroki bezpieczeństwa:
1. Nie ufaj losowym linkom. Zawsze wpisuj adresy URL ręcznie lub dodawaj do zakładek oficjalne strony.
2. Sprawdzaj dwukrotnie każdą transakcję. Czytaj zatwierdzenia przed podpisaniem, nieograniczony dostęp do tokenów jest ryzykowny.
3. Regularnie odwołuj stare zatwierdzenia. Narzędzia takie jak Revoke.cash ułatwiają to.
4. Używaj portfeli sprzętowych. Dodają fizyczny krok potwierdzenia, którego atakujący nie mogą ominąć.
Phisherzy prosperują na rynkach byka, gdy portfele stają się grube. Wiedzą, że chciwość zabija ostrożność. Nie dawaj im okazji.
Szerszy obraz: Inżynieria społeczna kontra inteligentne kontrakty
Ten atak pokazuje, gdzie naprawdę leżą ryzyka DeFi.
Inteligentne kontrakty stają się silniejsze. Exploity protokołów, choć nadal się zdarzają, są rzadsze w porównaniu do lat 2021-22.
Ludzie, z drugiej strony, pozostają najsłabszym ogniwem.
Phisherzy nie muszą hakować kodu, gdy mogą hakować zaufanie. Fałszywe wyskakujące okienko MetaMask. Link na Twitterze obiecujący "airdropy". Chwila nieuwagi może kosztować miliony.
Eksperci ds. bezpieczeństwa twierdzą, że edukacja ma większe znaczenie niż nowe technologie. Ulepszenia UX portfela, jaśniejsze ostrzeżenia o zatwierdzeniach i lepsza detekcja oszustw mogłyby pomóc. Ale ostatecznie, samodzielne przechowywanie wiąże się z własną odpowiedzialnością.
Czy środki zostaną odzyskane?
Venus Protocol potwierdził komunikację z ofiarą. Wysiłki odzyskiwania trwają, ale realistycznie, środki odprowadzone do portfeli kontrolowanych przez atakującego rzadko wracają.
Czasami atakujący negocjują zwroty podobne do okupu, ale na razie nie ma na to żadnych oznak. Aktywa mogą wkrótce zostać wymieszane przez mosty i miksery, utrudniając śledzenie.
Końcowe przemyślenia: Sygnał alarmowy dla użytkowników DeFi
To nie był tylko kolejny nagłówek o exploicie. To przypomnienie, że bezpieczeństwo DeFi zaczyna się od użytkownika.
Protokoły mogą być kuloodporne. Audyty mogą przejść. Ale jedno złe kliknięcie nadal może wyssać miliony.
Gdy rynek byka się rozgrzewa, spodziewaj się więcej prób phishingu. Więcej fałszywych airdropów. Więcej botów na Twitterze z pilnymi linkami.
- Nie bądź następnym nagłówkiem.
- Sprawdzaj dwukrotnie. Często odwołuj. Pozostań paranoidalny.
- Ponieważ w DeFi uczysz się tej lekcji tylko raz.
Zastrzeżenie: To nie jest porada handlowa ani inwestycyjna. Zawsze przeprowadzaj własne badania przed zakupem jakiejkolwiek kryptowaluty lub inwestowaniem w jakiekolwiek usługi.
Śledź nas na Twitterze @nulltxnews aby być na bieżąco z najnowszymi wiadomościami o kryptowalutach, NFT, AI, cyberbezpieczeństwie, przetwarzaniu rozproszonym i Metaverse!
Źródło: https://nulltx.com/27m-gone-in-seconds-venus-protocol-user-hit-by-phishing-attack/
