Venus Protocol पर एक नाटकीय घटना के कारण लगभग $30 मिलियन की संपत्ति का नुकसान हुआ है।
जबकि कई लोगों ने शुरुआत में इसे हैक समझा, Cyvers के ब्लॉकचेन सुरक्षा विश्लेषकों ने BeInCrypto को पुष्टि की कि यह प्रोटोकॉल में कोई कमजोरी नहीं थी, बल्कि उपयोगकर्ता की गलती थी।
Phishing स्कैम से Venus Protocol यूजर को $30 मिलियन का नुकसान, प्रोटोकॉल हैक नहीं
PeckShield ने सबसे पहले इस संदिग्ध गतिविधि की सूचना दी, जिसमें बताया गया कि Venus Protocol के एक उपयोगकर्ता को लगभग $27 मिलियन का नुकसान हुआ, जब वह एक फिशिंग स्कैम का शिकार हो गया।
हमलावर ने पीड़ित को एक दुर्भावनापूर्ण लेन-देन को मंजूरी देने के लिए धोखा देकर पहुंच प्राप्त की, जिससे वॉलेट से संपत्ति ट्रांसफर करने की असीमित अनुमति मिल गई।
चोरी किए गए टोकन्स में लगभग $19.8 मिलियन vUSDT, $7.15 मिलियन vUSDC, $146,000 vXRP, $22,000 vETH, और 285 BTCB शामिल थे, जिसे पर्यवेक्षकों ने “पीढ़ीगत धन” के रूप में वर्णित किया।
Defi विश्लेषक Ignas ने भी इस पर टिप्पणी की, बताते हुए कि Venus ने “जैसा इरादा था वैसा ही काम किया” और यह घटना हमलावर द्वारा समझौता किए गए वॉलेट से पूर्व-स्वीकृत अनुमतियों का फायदा उठाने के कारण हुई।
“एक गलत मंजूरी और बूम—आप खत्म। यही DeFi का काला पक्ष है: खुली अनुमतियाँ शक्तिशाली होती हैं, लेकिन अगर आप सावधान नहीं हैं तो घातक भी हो सकती हैं,” लिखा विश्लेषक Crypto Jargon ने।
समुदाय में यह भावना गूंज उठी और चेतावनियाँ फिर से उभरीं। सर्वोत्तम प्रथाओं में नियमित रूप से अनुमतियों को रद्द करना, अनवेरिफाइड लिंक से बचना, और केवल हॉट वॉलेट पर निर्भर रहने के बजाय हार्डवेयर वॉलेट का उपयोग करना शामिल है।
Cyvers ने BeInCrypto को दिए एक बयान में इसकी पुष्टि की:
“हाँ, उपयोगकर्ता की गलती, प्रोटोकॉल स्तर पर नहीं,” Cyvers ने स्पष्ट किया।
चोरी किए गए फंड्स अभी भी अनस्वैप्ड हैं, हमलावर के कॉन्ट्रैक्ट एड्रेस में रखे गए हैं।
“यह घटना दिखाती है कि अनुभवी DeFi उपयोगकर्ता भी परिष्कृत फिशिंग योजनाओं के प्रति संवेदनशील रहते हैं। पीड़ित को टोकन अनुमतियाँ देने के लिए धोखा देकर, हमलावर ने एक ही लेन-देन में Venus Protocol से $27 मिलियन निकाल लिए,” कहा Hakan Unal, Cyvers के वरिष्ठ सुरक्षा संचालन लीड ने।
Bunni DEX एक्सप्लॉइट से $8.4 मिलियन की निकासी
एक अलग घटना में, Bunni, जो Uniswap v4 पर आधारित एक डिसेंट्रलाइज्ड एक्सचेंज (DEX) है, को एक एक्सप्लॉइट का सामना करना पड़ा, जिसने Ethereum और UniChain में $8.4 मिलियन से अधिक की निकासी की।
Venus मामले के विपरीत, यह प्रोटोकॉल स्तर पर एक वास्तविक कमजोरी थी।
Bunni ने घोषणा की है कि उसने सभी नेटवर्क्स पर स्मार्ट कॉन्ट्रैक्ट फंक्शन्स को रोक दिया है क्योंकि उसकी टीम जांच कर रही है:
“Bunni ऐप एक सुरक्षा एक्सप्लॉइट से प्रभावित हुआ है। एहतियात के तौर पर, हमने सभी नेटवर्क्स पर स्मार्ट कॉन्ट्रैक्ट फंक्शन्स को रोक दिया है,” नेटवर्क ने पुष्टि की।
GoPlus Security के अनुसार, यह एक्सप्लॉइट Bunni के कस्टम Liquidity Distribution Function (LDF) में कमजोरियों से उत्पन्न हुआ।
Victor Tran, एक ब्लॉकचेन डेवलपर, ने समझाया कि हमलावर ने कैसे सावधानीपूर्वक आकार के ट्रेड्स के साथ कर्व को मैनिपुलेट किया।
लिक्विडिटी रीबैलेंसिंग के दौरान बार-बार गलत गणनाओं को ट्रिगर करके, एक्सप्लॉइटर ने जितने टोकन्स निकालने चाहिए थे उससे अधिक निकाल लिए, पूल्स को खाली कर दिया और फिर दो स्वैप स्टेप्स के साथ हमले को अंतिम रूप दिया।
Tran ने जोर दिया कि जबकि Bunni का हुक समझौता किया गया था, Uniswap v4 स्वयं अप्रभावित रहा।
ये दोहरी घटनाएं डिसेंट्रलाइज्ड फाइनेंस (DeFi) में नवाचार और सुरक्षा के बीच नाजुक संतुलन को उजागर करती हैं।
Venus Protocol का नुकसान मानव तत्व को उजागर करता है, जहां एक क्लिक से संपत्तियां मिट सकती हैं। वहीं, Bunni का एक्सप्लॉइट दिखाता है कि कैसे नए मैकेनिज्म की सटीकता की खामियां लिक्विडिटी को उजागर कर सकती हैं।
एक ऐसे मार्केट में जहां अरबों दांव पर लगे हैं, एक गलती, चाहे वह मानव हो या तकनीकी, विनाशकारी साबित हो सकती है।
इसलिए, जैसे-जैसे DeFi सेक्टर का विस्तार हो रहा है, उपयोगकर्ता शिक्षा और प्रोटोकॉल की कठोरता महत्वपूर्ण बनी रहेगी।
