Uma pescaria, por que revela a contradição da alma sobre se as Finanças Descentralizadas podem "ter o melhor dos dois mundos"? O Apocalipse do ataque a Venus
Venus Protocol uma baleia foi atacada por phishing, perdendo milhões de dólares. O protocolo interveio urgentemente, forçando a liquidação do atacante e recuperando os fundos, mas isso também levantou questões sobre sua natureza descentralizada. Este artigo é originado de um texto da Rekt News, organizado, traduzido e redigido pela TechFlow. (Resumo: usuários do Venus Protocol foram atacados por phishing, perdendo 27 milhões de dólares, não foi o protocolo que foi hackeado!) (Contexto adicional: seu computador está ajudando hackers a minerar Bitcoin! 3.500 sites foram infectados com 'scripts de mineração', sequestrando invisivelmente os usuários sem que eles percebessem) Uma baleia do Venus Protocol acabou de perceber por meio de uma experiência dolorosa que o custo de uma chamada Zoom pode ser maior que sua hipoteca. Um cliente de vídeo malicioso, uma assinatura perfeitamente cronometrada, 13 milhões de dólares desapareceram mais rápido que um anúncio de rug pull. Mas o ponto de virada da história é que - Venus não ficou apenas assistindo os usuários sendo esvaziados sem agir. Eles fecharam seu próprio protocolo, convocaram urgentemente uma votação e completaram em menos de 12 horas a 'ação de resgate' mais controversa do espaço DeFi. O que inicialmente parecia um ataque de phishing comum, acabou se transformando em uma grande aula sobre se protocolos descentralizados podem ter 'o melhor dos dois mundos'. Quando salvar uma baleia significa expor um botão de desligar escondido no protocolo, quem realmente foi salvo? O desenrolar do evento 2 de setembro, 09:05 UTC. Uma baleia do Venus Protocol ativou seu cliente Zoom, pronta para iniciar um novo dia de negócios DeFi. Mas o aparentemente inocente software de vídeo foi silenciosamente invadido, permitindo que o atacante acessasse todo o dispositivo deles através de uma porta dos fundos. A vítima assinou uma transação de autorização de procuração - uma operação rotineira que ocorre milhares de vezes por dia no DeFi. Não precisa acessar a chave privada para gerenciar sua posição no protocolo. Geralmente, assinar esses protocolos é mais rápido do que ler os termos de serviço. Clique. Assinatura. Instantaneamente 'ser liquidado'. Da assinatura ao colapso financeiro, apenas seis segundos. Um cliente de vídeo comprometido entregou a gestão de uma carteira no valor de 13 milhões de dólares ao atacante, que aguardava pacientemente a oportunidade. A maioria das histórias de phishing termina aqui - a baleia sofre, o atacante desaparece, as zombarias para a vítima no Twitter duram uma semana. Mas desta vez, o plano do ladrão era muito mais ambicioso do que um simples 'saque total'. O que acontece quando roubar milhões de dólares não é suficiente? A operação de roubo 09:05:36 UTC. Apenas seis segundos depois que a baleia assinou seu 'protocolo de suicídio criptográfico', o atacante iniciou uma 'obra-prima' de empréstimos flash. Transação de exploração: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 A análise posterior do Venus Protocol detalha a estratégia de operação do atacante: Primeiro passo: empréstimo flash de 285,72 BTCB - afinal, por que usar seu próprio dinheiro? DeFi permite que você empreste milhões sem garantia. Segundo passo: usar os fundos emprestados para liquidar a dívida existente da vítima, enquanto adiciona mais 21 BTCB da própria conta do atacante. Parece generoso, mas é um 'assassinato contábil' impiedoso. Terceiro passo: ativar a autorização de procuração. Transferir todos os ativos digitais da vítima - incluindo 19,8 milhões de dólares em vUSDT, 7,15 milhões de dólares em vUSDC, 285 BTCB, e uma longa lista de outros tokens. Tudo isso é completamente legal, porque a 'ingênua' assinatura de seis segundos atrás já havia autorizado isso. Quarto passo: um golpe genial. Usar esses ativos recém-roubados como garantia para pegar 7,14 milhões de dólares em USDC, com base no restante de BNB da vítima. O atacante não apenas esvaziou a carteira, mas fez a vítima pagar por seu próprio 'roubo'. Quinto passo: pegar BTCB suficiente para pagar o empréstimo flash. Transação concluída, o atacante desaparece silenciosamente. Uma transação automática, uma baleia esvaziada, um ladrão criptográfico muito satisfeito - eles acabaram de transformar as economias de uma vida de outra pessoa em seu playground de garantia. No entanto, a ganância muitas vezes transforma caçadores em presas. O que acontece quando um 'roubo perfeito' se transforma em uma 'operação suicida'? Medidas de resposta 09:09 UTC, quatro minutos após o roubo, os sistemas de monitoramento da HexaGate e Hypernative começaram a emitir alarmes. Não se tratava de um simples alerta de 'transação suspeita detectada'. Era um alerta de nível cinco, valendo 13 milhões de dólares, e a empresa de segurança imediatamente sabia quem contatar. A resposta do Venus Protocol? Opção nuclear ativada. Apenas vinte minutos após o roubo, o Venus ativou seu próprio botão de desligar, congelando todas as funções principais de todo o ecossistema. Empréstimos? Parar. Saques? Encerrar. Liquidações? Suspender. Um usuário sofreu phishing, e todo o protocolo parou. Isso não era apenas controle de crise - era uma batalha financeira. Venus decidiu restringir sua própria plataforma, tentando capturar os bens roubados do atacante. Cada vToken que o hacker possuía instantaneamente se tornou papel sem valor, preso sob as permissões de emergência do Venus. Mas congelar todo o protocolo DeFi para salvar uma baleia? Essa decisão não pode ser tomada pelo time de desenvolvimento sozinho. Assim, a democracia entrou em cena: uma votação de governança de emergência. Quando a comunidade teve apenas doze horas para decidir se deveria salvar a riqueza de um usuário por meio de métodos centralizados, você realmente pode chamar isso de descentralização? Democracia relâmpago Venus não apenas suspendeu o protocolo, mas também convocou uma 'reunião online' de emergência que qualquer equipe de gerenciamento de crises do Web2 invejaria. Eles chamaram de 'votação relâmpago'. Afinal, não há nada que represente melhor a 'governança de base' do que comprimir decisões de milhões de dólares em algumas horas de intensos debates no Discord. A proposta era clara: Primeira fase: restauração parcial de funções (para evitar que os usuários sejam liquidadas). Segunda fase: liquidação forçada da posição do atacante. Terceira fase: realizar uma revisão de segurança abrangente para evitar que eventos semelhantes aconteçam novamente. Quarta fase: restauração total das operações do Venus. A reação da comunidade? 100% de concordância. Não 99%. Também não 98%. Cada voto apoiou o plano de ação do Venus, como se fosse algum resultado eleitoral da Coreia do Norte na versão DeFi. Talvez isso seja o verdadeiro consenso, ou talvez seja por proteção própria. Ou quando seu protocolo está perdendo milhões de dólares e concorrentes como abutres estão à espreita, as divergências se tornam um luxo que ninguém pode se dar ao luxo de ter. À tarde, o Venus obteve autorização. O próximo passo foi executar a ação de liquidação mais controversa da história do DeFi: uma operação que exigia contornar as regras dos contratos inteligentes para forçar a apreensão dos ativos do atacante. A vítima estava em crise devido a uma assinatura de transação errada, enquanto o Venus estava prestes a assinar o 'certificado de óbito da democracia'. O que acontece quando 'código é lei' encontra permissões de emergência?
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Uma pescaria, por que revela a contradição da alma sobre se as Finanças Descentralizadas podem "ter o melhor dos dois mundos"? O Apocalipse do ataque a Venus
Venus Protocol uma baleia foi atacada por phishing, perdendo milhões de dólares. O protocolo interveio urgentemente, forçando a liquidação do atacante e recuperando os fundos, mas isso também levantou questões sobre sua natureza descentralizada. Este artigo é originado de um texto da Rekt News, organizado, traduzido e redigido pela TechFlow. (Resumo: usuários do Venus Protocol foram atacados por phishing, perdendo 27 milhões de dólares, não foi o protocolo que foi hackeado!) (Contexto adicional: seu computador está ajudando hackers a minerar Bitcoin! 3.500 sites foram infectados com 'scripts de mineração', sequestrando invisivelmente os usuários sem que eles percebessem) Uma baleia do Venus Protocol acabou de perceber por meio de uma experiência dolorosa que o custo de uma chamada Zoom pode ser maior que sua hipoteca. Um cliente de vídeo malicioso, uma assinatura perfeitamente cronometrada, 13 milhões de dólares desapareceram mais rápido que um anúncio de rug pull. Mas o ponto de virada da história é que - Venus não ficou apenas assistindo os usuários sendo esvaziados sem agir. Eles fecharam seu próprio protocolo, convocaram urgentemente uma votação e completaram em menos de 12 horas a 'ação de resgate' mais controversa do espaço DeFi. O que inicialmente parecia um ataque de phishing comum, acabou se transformando em uma grande aula sobre se protocolos descentralizados podem ter 'o melhor dos dois mundos'. Quando salvar uma baleia significa expor um botão de desligar escondido no protocolo, quem realmente foi salvo? O desenrolar do evento 2 de setembro, 09:05 UTC. Uma baleia do Venus Protocol ativou seu cliente Zoom, pronta para iniciar um novo dia de negócios DeFi. Mas o aparentemente inocente software de vídeo foi silenciosamente invadido, permitindo que o atacante acessasse todo o dispositivo deles através de uma porta dos fundos. A vítima assinou uma transação de autorização de procuração - uma operação rotineira que ocorre milhares de vezes por dia no DeFi. Não precisa acessar a chave privada para gerenciar sua posição no protocolo. Geralmente, assinar esses protocolos é mais rápido do que ler os termos de serviço. Clique. Assinatura. Instantaneamente 'ser liquidado'. Da assinatura ao colapso financeiro, apenas seis segundos. Um cliente de vídeo comprometido entregou a gestão de uma carteira no valor de 13 milhões de dólares ao atacante, que aguardava pacientemente a oportunidade. A maioria das histórias de phishing termina aqui - a baleia sofre, o atacante desaparece, as zombarias para a vítima no Twitter duram uma semana. Mas desta vez, o plano do ladrão era muito mais ambicioso do que um simples 'saque total'. O que acontece quando roubar milhões de dólares não é suficiente? A operação de roubo 09:05:36 UTC. Apenas seis segundos depois que a baleia assinou seu 'protocolo de suicídio criptográfico', o atacante iniciou uma 'obra-prima' de empréstimos flash. Transação de exploração: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 A análise posterior do Venus Protocol detalha a estratégia de operação do atacante: Primeiro passo: empréstimo flash de 285,72 BTCB - afinal, por que usar seu próprio dinheiro? DeFi permite que você empreste milhões sem garantia. Segundo passo: usar os fundos emprestados para liquidar a dívida existente da vítima, enquanto adiciona mais 21 BTCB da própria conta do atacante. Parece generoso, mas é um 'assassinato contábil' impiedoso. Terceiro passo: ativar a autorização de procuração. Transferir todos os ativos digitais da vítima - incluindo 19,8 milhões de dólares em vUSDT, 7,15 milhões de dólares em vUSDC, 285 BTCB, e uma longa lista de outros tokens. Tudo isso é completamente legal, porque a 'ingênua' assinatura de seis segundos atrás já havia autorizado isso. Quarto passo: um golpe genial. Usar esses ativos recém-roubados como garantia para pegar 7,14 milhões de dólares em USDC, com base no restante de BNB da vítima. O atacante não apenas esvaziou a carteira, mas fez a vítima pagar por seu próprio 'roubo'. Quinto passo: pegar BTCB suficiente para pagar o empréstimo flash. Transação concluída, o atacante desaparece silenciosamente. Uma transação automática, uma baleia esvaziada, um ladrão criptográfico muito satisfeito - eles acabaram de transformar as economias de uma vida de outra pessoa em seu playground de garantia. No entanto, a ganância muitas vezes transforma caçadores em presas. O que acontece quando um 'roubo perfeito' se transforma em uma 'operação suicida'? Medidas de resposta 09:09 UTC, quatro minutos após o roubo, os sistemas de monitoramento da HexaGate e Hypernative começaram a emitir alarmes. Não se tratava de um simples alerta de 'transação suspeita detectada'. Era um alerta de nível cinco, valendo 13 milhões de dólares, e a empresa de segurança imediatamente sabia quem contatar. A resposta do Venus Protocol? Opção nuclear ativada. Apenas vinte minutos após o roubo, o Venus ativou seu próprio botão de desligar, congelando todas as funções principais de todo o ecossistema. Empréstimos? Parar. Saques? Encerrar. Liquidações? Suspender. Um usuário sofreu phishing, e todo o protocolo parou. Isso não era apenas controle de crise - era uma batalha financeira. Venus decidiu restringir sua própria plataforma, tentando capturar os bens roubados do atacante. Cada vToken que o hacker possuía instantaneamente se tornou papel sem valor, preso sob as permissões de emergência do Venus. Mas congelar todo o protocolo DeFi para salvar uma baleia? Essa decisão não pode ser tomada pelo time de desenvolvimento sozinho. Assim, a democracia entrou em cena: uma votação de governança de emergência. Quando a comunidade teve apenas doze horas para decidir se deveria salvar a riqueza de um usuário por meio de métodos centralizados, você realmente pode chamar isso de descentralização? Democracia relâmpago Venus não apenas suspendeu o protocolo, mas também convocou uma 'reunião online' de emergência que qualquer equipe de gerenciamento de crises do Web2 invejaria. Eles chamaram de 'votação relâmpago'. Afinal, não há nada que represente melhor a 'governança de base' do que comprimir decisões de milhões de dólares em algumas horas de intensos debates no Discord. A proposta era clara: Primeira fase: restauração parcial de funções (para evitar que os usuários sejam liquidadas). Segunda fase: liquidação forçada da posição do atacante. Terceira fase: realizar uma revisão de segurança abrangente para evitar que eventos semelhantes aconteçam novamente. Quarta fase: restauração total das operações do Venus. A reação da comunidade? 100% de concordância. Não 99%. Também não 98%. Cada voto apoiou o plano de ação do Venus, como se fosse algum resultado eleitoral da Coreia do Norte na versão DeFi. Talvez isso seja o verdadeiro consenso, ou talvez seja por proteção própria. Ou quando seu protocolo está perdendo milhões de dólares e concorrentes como abutres estão à espreita, as divergências se tornam um luxo que ninguém pode se dar ao luxo de ter. À tarde, o Venus obteve autorização. O próximo passo foi executar a ação de liquidação mais controversa da história do DeFi: uma operação que exigia contornar as regras dos contratos inteligentes para forçar a apreensão dos ativos do atacante. A vítima estava em crise devido a uma assinatura de transação errada, enquanto o Venus estava prestes a assinar o 'certificado de óbito da democracia'. O que acontece quando 'código é lei' encontra permissões de emergência?