Протокол Венери Гігантський кит зазнав атаки за допомогою фішингу і втратив десятки мільйонів доларів. Екстрене втручання протоколу для примусової ліквідації зловмисників та повернення коштів також викликало питання щодо його децентралізованого характеру. Ця стаття походить від статті, написаної Rekt News, і складена, скомпільована та написана TechFlow. (Синопсис: користувачі Venus Protocol зазнали фішингу та втратили 27 мільйонів доларів, а не протокол був зламаний!) (Передісторію додано: ваш комп'ютер допомагає хакерам видобувати біткойни!) 3 500 веб-сайтів були імплантовані зі «скриптами для майнінгу», і приховане викрадення залишило користувачів без уваги) Кит з V enus Protocol щойно дізнався на болісному досвіді, що дзвінки в Zoom можуть коштувати дорожче, ніж ваша іпотека. Шкідливий відеоклієнт, ідеально витриманий підпис, 13 мільйонів доларів зникли швидше, ніж анонс Rug Pull. Але ось поворот у сюжеті — Венера не просто спостерігала, як користувачів видовбують, а потім залишають байдужими. Вони відключили власний протокол, терміново закликали до голосування і завершили найбільш суперечливу «рятувальну операцію» в просторі DeFi менш ніж за 12 годин. Те, що починалося як, здавалося б, звичайна фішингова атака, перетворилося на чудовий майстер-клас про те, чи можуть децентралізовані протоколи бути «одночасно рибою та ведмедем». Коли порятунок кита означає викриття прихованого перемикача в протоколі, хто насправді врятований? Початок і закінчення івента 2 вересня о 9:05 UTC. Один з китів Venus Protocol запустив свій клієнт Zoom, готовий почати новий день DeFi-бізнесу. Але, здавалося б, невинне програмне забезпечення для відео було непомітно скомпрометовано, що дозволило зловмисникам отримати доступ до всього свого пристрою через бекдор. Жертва підписує транзакцію делегованої авторизації – рутинну операцію, яка відбувається тисячі разів на день у DeFi. Домовленість керувати своїми позиціями без торкання приватного ключа. Загалом, ви можете підписати ці угоди швидше, ніж прочитати умови надання послуг. Натисніть. Підпис. Миттєво "лопнув позицію". Від підпису до фінансового краху всього шість секунд. Таким чином, скомпрометований відеоклієнт передав управління гаманцем на 13 мільйонів доларів зловмиснику, який терпляче чекав моменту. На цьому більшість фішингових історій закінчуються — страждають кити, зловмисники зникають, а глузування з жертв у Twitter тривають протягом тижня. Але цього разу злодійський план набагато амбітніший, ніж просто «пограбувати все». Що відбувається, коли крадіжки мільйонів доларів недостатньо? Дія крадіжки 09:05:36 UTC. Всього через шість секунд після того, як кити підписали свій «протокол криптосамогубства», зловмисники запустили «шедевр» з флеш-позик. Торгівля експлойтами: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 посмертний аналіз Venus Protocol детально розбирає тактику зловмисника: Крок 1: Lightning позичив 285,72 BTCB — зрештою, навіщо використовувати власні гроші? DeFi дозволяє позичати мільйони без застави. Крок 2: Використовуйте позикові кошти для погашення існуючих боргів жертви, додавши додаткові 21 BTCB з власного рахунку зловмисника. Те, що здається щедрістю, насправді є бездушним «бухгалтерським вбивством». Крок 3: Активуйте делеговані дозволи. Передайте цілі цифрові активи жертви, включаючи vUSDT на суму $19,8 млн, vUSDC на $7,15 млн, 285 BTCB та довгий список інших токенів. Це все абсолютно законно, тому що цей "наївний" підпис шестисекундної давності був санкціонований. Крок 4: Блискучий удар. Використовуючи ці нещодавно вкрадені активи як заставу, було взято 7,14 мільйона доларів США в USDC на основі BNB, що залишився у жертви. Зловмисники не лише спустошували їхні гаманці, а й змушували своїх жертв платити за свою «крадіжку». Крок 5: Позичте достатню кількість BTCB для погашення швидкої позики. Транзакція завершена, і зловмисник непомітно зникає. Автоматичний трейдер, видовбаний кит, дуже задоволений криптозлодій, який щойно перетворив чужі заощадження на власну іпотечну ляльку. Однак жадібність часто перетворює мисливців на здобич. Що відбувається, коли «ідеальна крадіжка» перетворюється на «суїцидальну операцію»? Заходи протидії О 09:09 UTC, через чотири хвилини після крадіжки, системи моніторингу HexaGate і Hypernnative почали бити на сполох. Це не звичайний запит «виявлено підозрілу транзакцію». Це була п'ятирівнева тривога вартістю 13 мільйонів доларів, і охоронні компанії одразу знали, до кого звертатися. Як реагує протокол Венери? Ядерний варіант починається безпосередньо. Від крадіжки до призупинення дії угоди пройшло всього двадцять хвилин. Венера активувала власну функцію автоматичного аварійного відключення, заморозивши всі основні функції всієї екосистеми. Запозичення? Зупинити. Зняття? Кінець. Ліквідація? Пауза. Один користувач зазнав фішингу, і весь протокол зупинився. Це не просто кризовий контроль – це фінансова битва. Венера рішуче обмежила свою платформу, намагаючись заманити зловмисників у пастку від вкраденого. Кожен токен vToken, що належить хакеру, миттєво стає нікчемною макулатурою, заблокованою під надзвичайними повноваженнями Венери. Але заморозити весь протокол DeFi, щоб врятувати гігантського кита? Таке рішення не може бути прийняте командою розробників самостійно. Так само як і поява демократії: голосування за надзвичайне управління. Коли спільнота має лише дванадцять годин, щоб вирішити, чи варто рятувати багатство користувача централізованими засобами, чи справді можна назвати його децентралізованим? Блискавична демократія Венера не лише призупинила дію протоколу, а й назвала екстрену «віртуальну зустріч», якій позаздрила б будь-яка кризова команда Web2. Вони називають це "блискавичним голосуванням". Зрештою, немає нічого кращого за «низове управління», ніж втиснути багатомільйонне рішення в години гарячих дебатів у Discord. Зміст пропозиції простий і зрозумілий: Етап 1: Часткове відновлення функції (щоб користувачі могли уникнути ліквідації). Етап 2: Примусова ліквідація позиції нападника. Фаза 3: Проведіть комплексну перевірку безпеки, щоб запобігти повторенню подібних інцидентів. Етап 4: Повне відновлення роботи Венери. Як відреагує громада? 100% одностайні. Не на 99%. Теж не на 98%. Кожен голос підтримував план дій Венери, ніби це була якась DeFi-версія результатів виборів у Північній Кореї. Можливо, це справжній консенсус, а можливо, це з самозбереження. Або коли ваша угода висмоктує мільйони доларів, а конкуренти кружляють навколо вас, як грифи, незгода стає розкішшю, яку ніхто не може собі дозволити. У другій половині дня Венера була наділена силою. За цим послідувала найсуперечливіша операція з ліквідації в історії DeFi: операція, яка вимагала обходу правил смарт-контракту для примусового вилучення застави зловмисника. Жертва переживає кризу через неправильний підпис під транзакцією, а Венера збирається підписати "свідоцтво про смерть демократії". Що відбувається, коли «кодекс є закон» зустрічається з надзвичайною владою? Реанімаційні дії 21:36 UTC. У крадіжці сталося дванадцять маленьких...
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Одне рибальство, чому відкриває суперечливу суть можливості «мати і рибу, і ведмедя» в DeFi? Апокаліпсис атаки Venus
Протокол Венери Гігантський кит зазнав атаки за допомогою фішингу і втратив десятки мільйонів доларів. Екстрене втручання протоколу для примусової ліквідації зловмисників та повернення коштів також викликало питання щодо його децентралізованого характеру. Ця стаття походить від статті, написаної Rekt News, і складена, скомпільована та написана TechFlow. (Синопсис: користувачі Venus Protocol зазнали фішингу та втратили 27 мільйонів доларів, а не протокол був зламаний!) (Передісторію додано: ваш комп'ютер допомагає хакерам видобувати біткойни!) 3 500 веб-сайтів були імплантовані зі «скриптами для майнінгу», і приховане викрадення залишило користувачів без уваги) Кит з V enus Protocol щойно дізнався на болісному досвіді, що дзвінки в Zoom можуть коштувати дорожче, ніж ваша іпотека. Шкідливий відеоклієнт, ідеально витриманий підпис, 13 мільйонів доларів зникли швидше, ніж анонс Rug Pull. Але ось поворот у сюжеті — Венера не просто спостерігала, як користувачів видовбують, а потім залишають байдужими. Вони відключили власний протокол, терміново закликали до голосування і завершили найбільш суперечливу «рятувальну операцію» в просторі DeFi менш ніж за 12 годин. Те, що починалося як, здавалося б, звичайна фішингова атака, перетворилося на чудовий майстер-клас про те, чи можуть децентралізовані протоколи бути «одночасно рибою та ведмедем». Коли порятунок кита означає викриття прихованого перемикача в протоколі, хто насправді врятований? Початок і закінчення івента 2 вересня о 9:05 UTC. Один з китів Venus Protocol запустив свій клієнт Zoom, готовий почати новий день DeFi-бізнесу. Але, здавалося б, невинне програмне забезпечення для відео було непомітно скомпрометовано, що дозволило зловмисникам отримати доступ до всього свого пристрою через бекдор. Жертва підписує транзакцію делегованої авторизації – рутинну операцію, яка відбувається тисячі разів на день у DeFi. Домовленість керувати своїми позиціями без торкання приватного ключа. Загалом, ви можете підписати ці угоди швидше, ніж прочитати умови надання послуг. Натисніть. Підпис. Миттєво "лопнув позицію". Від підпису до фінансового краху всього шість секунд. Таким чином, скомпрометований відеоклієнт передав управління гаманцем на 13 мільйонів доларів зловмиснику, який терпляче чекав моменту. На цьому більшість фішингових історій закінчуються — страждають кити, зловмисники зникають, а глузування з жертв у Twitter тривають протягом тижня. Але цього разу злодійський план набагато амбітніший, ніж просто «пограбувати все». Що відбувається, коли крадіжки мільйонів доларів недостатньо? Дія крадіжки 09:05:36 UTC. Всього через шість секунд після того, як кити підписали свій «протокол криптосамогубства», зловмисники запустили «шедевр» з флеш-позик. Торгівля експлойтами: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 посмертний аналіз Venus Protocol детально розбирає тактику зловмисника: Крок 1: Lightning позичив 285,72 BTCB — зрештою, навіщо використовувати власні гроші? DeFi дозволяє позичати мільйони без застави. Крок 2: Використовуйте позикові кошти для погашення існуючих боргів жертви, додавши додаткові 21 BTCB з власного рахунку зловмисника. Те, що здається щедрістю, насправді є бездушним «бухгалтерським вбивством». Крок 3: Активуйте делеговані дозволи. Передайте цілі цифрові активи жертви, включаючи vUSDT на суму $19,8 млн, vUSDC на $7,15 млн, 285 BTCB та довгий список інших токенів. Це все абсолютно законно, тому що цей "наївний" підпис шестисекундної давності був санкціонований. Крок 4: Блискучий удар. Використовуючи ці нещодавно вкрадені активи як заставу, було взято 7,14 мільйона доларів США в USDC на основі BNB, що залишився у жертви. Зловмисники не лише спустошували їхні гаманці, а й змушували своїх жертв платити за свою «крадіжку». Крок 5: Позичте достатню кількість BTCB для погашення швидкої позики. Транзакція завершена, і зловмисник непомітно зникає. Автоматичний трейдер, видовбаний кит, дуже задоволений криптозлодій, який щойно перетворив чужі заощадження на власну іпотечну ляльку. Однак жадібність часто перетворює мисливців на здобич. Що відбувається, коли «ідеальна крадіжка» перетворюється на «суїцидальну операцію»? Заходи протидії О 09:09 UTC, через чотири хвилини після крадіжки, системи моніторингу HexaGate і Hypernnative почали бити на сполох. Це не звичайний запит «виявлено підозрілу транзакцію». Це була п'ятирівнева тривога вартістю 13 мільйонів доларів, і охоронні компанії одразу знали, до кого звертатися. Як реагує протокол Венери? Ядерний варіант починається безпосередньо. Від крадіжки до призупинення дії угоди пройшло всього двадцять хвилин. Венера активувала власну функцію автоматичного аварійного відключення, заморозивши всі основні функції всієї екосистеми. Запозичення? Зупинити. Зняття? Кінець. Ліквідація? Пауза. Один користувач зазнав фішингу, і весь протокол зупинився. Це не просто кризовий контроль – це фінансова битва. Венера рішуче обмежила свою платформу, намагаючись заманити зловмисників у пастку від вкраденого. Кожен токен vToken, що належить хакеру, миттєво стає нікчемною макулатурою, заблокованою під надзвичайними повноваженнями Венери. Але заморозити весь протокол DeFi, щоб врятувати гігантського кита? Таке рішення не може бути прийняте командою розробників самостійно. Так само як і поява демократії: голосування за надзвичайне управління. Коли спільнота має лише дванадцять годин, щоб вирішити, чи варто рятувати багатство користувача централізованими засобами, чи справді можна назвати його децентралізованим? Блискавична демократія Венера не лише призупинила дію протоколу, а й назвала екстрену «віртуальну зустріч», якій позаздрила б будь-яка кризова команда Web2. Вони називають це "блискавичним голосуванням". Зрештою, немає нічого кращого за «низове управління», ніж втиснути багатомільйонне рішення в години гарячих дебатів у Discord. Зміст пропозиції простий і зрозумілий: Етап 1: Часткове відновлення функції (щоб користувачі могли уникнути ліквідації). Етап 2: Примусова ліквідація позиції нападника. Фаза 3: Проведіть комплексну перевірку безпеки, щоб запобігти повторенню подібних інцидентів. Етап 4: Повне відновлення роботи Венери. Як відреагує громада? 100% одностайні. Не на 99%. Теж не на 98%. Кожен голос підтримував план дій Венери, ніби це була якась DeFi-версія результатів виборів у Північній Кореї. Можливо, це справжній консенсус, а можливо, це з самозбереження. Або коли ваша угода висмоктує мільйони доларів, а конкуренти кружляють навколо вас, як грифи, незгода стає розкішшю, яку ніхто не може собі дозволити. У другій половині дня Венера була наділена силою. За цим послідувала найсуперечливіша операція з ліквідації в історії DeFi: операція, яка вимагала обходу правил смарт-контракту для примусового вилучення застави зловмисника. Жертва переживає кризу через неправильний підпис під транзакцією, а Венера збирається підписати "свідоцтво про смерть демократії". Що відбувається, коли «кодекс є закон» зустрічається з надзвичайною владою? Реанімаційні дії 21:36 UTC. У крадіжці сталося дванадцять маленьких...