Как взломали пользователя Venus Protocol и почему удалось вернуть $13 млн

2 сентября 2025 года пользователь с ником @KuanSun1990 стал жертвой атаки, из-за которой он потерял около $13 млн в протоколе Venus. GetBlock AML Research детально объясняет, как мошенник смог завладеть активами жертвы.

Причина происшествия

Пользователь случайно открыл ссылку на Zoom, поддельную, созданную мошенниками. На этом сайте его заставили установить вредоносный код. В результате злоумышленники получили полный контроль над его компьютером.

Многие записи в системе были удалены, поэтому расследование осложнилось. Сам пострадавший вспомнил, что пользовался известным кошельком-расширением для браузера. Он подозревает, что мошенники подменили код этого кошелька у него на компьютере.

В итоге, когда пользователь хотел вывести свои средства через аппаратный кошелек, операция была изменена: вместо вывода токенов была запущена команда, которая передала контроль над его активами мошеннику.

Пользователь Venus Protocol потерял $27 млн из-за фишинга

Потери произошли из-за скомпрометированного кошелька, а не уязвимости Venus Protocol. В тот же день хакеры атаковали DeFi-платформу Bunni на $2,3 млн

Читать дальше

Как действовал мошенник

Злоумышленник использовал метод социальной инженерии. Он притворился деловым партнером и пригласил жертву на встречу в Zoom, отправив ссылку в Telegram.

Так как у жертвы совпадали несколько встреч, он спешил и не обратил внимания, что домен сайта не настоящий. Мошенник во время разговора торопил его и не дал заподозрить, что предлагаемые обновления на сайте были вредоносными. В итоге компьютер полностью оказался под контролем преступника.

Подмена кошелька

После захвата устройства мошенник изменил код в расширении браузера, которое использовалось для работы с кошельком. Теперь это расширение могло подменять данные транзакций.

Аппаратный кошелек жертвы не имел механизма проверки «что вижу, то и подписываю» и поддерживал «слепую подпись». Из-за этого пользователь подписал подмененную транзакцию, даже не подозревая об этом.

Подготовка атаки

За день до инцидента (1 сентября) мошенник перевел на свои адреса 21,18 BTCB и 205 000 XRP, чтобы использовать эти средства для захвата активов жертвы.

Через 10 часов после заражения компьютера жертва зашла на официальный сайт Venus и попыталась вывести токены USDT. Однако расширение, измененное хакером, подменило операцию. Вместо вывода средств была выполнена команда передачи прав на управление активами мошеннику.

Взлом Bybit на $1,5 млрд спустя полгода. Как инцидент изменил индустрию

Северокорейским хакерам, которые стоят за взломом биржи Bybit, пришлось изобрести новые способы отмывания криптовалюты, поскольку они оказались в уникальной для индустрии ситуации

Читать дальше

Транзакция делегирования позиций на Venus мошеннику

Ход атаки

После получения контроля злоумышленник сразу взял флэш-кредит через сервис Lista, чтобы занять дополнительные активы. Он погасил часть долгов жертвы в Venus, а затем получил доступ к его залоговым активам (USDT, USDC, WBETH, FDUSD, ETH) и вывел их на свои адреса.

Чтобы рассчитаться по флэш-кредиту, он снова внес часть активов в Venus и взял в долг BTCB.

Реакция команды Venus

Когда мошенник уже контролировал позиции жертвы, но не успел провести новые операции, команда Venus успела вмешаться:

• они приостановили работу протокола,
• заблокировали возможность вывода средств,
• запустили экстренное голосование по восстановлению работы системы.

Заявление команды Venus по поводу инцидента

В итоге команда Venus принудительно ликвидировала позиции мошенника и вернула украденные активы жертве. Также было выявлено, что мошенник переводил часть средств через обменник ChangeNOW, различные децентрализованные протоколы (1inch) и биржу eXch.

Граф связей адреса мошенника