Venus Protocol Trader verliert 30 Millionen Dollar durch schweren Fehler, Cyvers bestätigt

Ein dramatischer Vorfall auf dem Venus Protocol hat zum Verlust von fast 30 Millionen US-Dollar an Vermögenswerten geführt.

Während viele zunächst einen Hack vermuteten, bestätigten Blockchain-Sicherheitsanalysten von Cyvers gegenüber BeInCrypto, dass es sich hierbei um einen Benutzerfehler und nicht um eine Schwachstelle im Protokoll selbst handelte.

Phishing-Betrug kostet Venus Protocol Nutzer 30 Millionen US-Dollar, kein Protokoll-Hack

PeckShield meldete als Erstes die verdächtige Aktivität und stellte fest, dass ein Nutzer von Venus Protocol nach einem Phishing-Betrug etwa 27 Millionen US-Dollar verloren hatte.

Ein Nutzer von @VenusProtocol wurde nach einem #Phishing-Betrug um etwa 27 Millionen US-Dollar in Krypto erleichtert. Das Opfer genehmigte eine bösartige Transaktion und erteilte der Adresse des Angreifers (0x7fd8…202a) die Token-Genehmigung für den Asset-Transfer.

— PeckShieldAlert 2. September 2025

Der Angreifer erhielt Zugriff, indem er das Opfer dazu brachte, eine bösartige Transaktion zu genehmigen, die unbegrenzte Berechtigungen für den Transfer von Vermögenswerten aus der Wallet gewährte.

Zu den gestohlenen Token gehörten etwa 19,8 Millionen US-Dollar in vUSDT, 7,15 Millionen US-Dollar in vUSDC, 146.000 US-Dollar in vXRP, 22.000 US-Dollar in vETH und sogar 285 BTCB, was von Beobachtern als „Generationenvermögen“ bezeichnet wurde.

Defi-Analyst Ignas äußerte sich ebenfalls und stellte fest, dass Venus selbst „wie vorgesehen funktionierte“ und dass der Vorfall darauf zurückzuführen war, dass der Angreifer vorab genehmigte Autorisierungen der kompromittierten Wallet ausnutzte.

„Eine schlechte Genehmigung und Boom – das war’s. Das ist die dunkle Seite von DeFi: Offene Genehmigungen sind mächtig, aber auch tödlich, wenn man nicht vorsichtig ist“, schrieb Analyst Crypto Jargon.

Dieses Gefühl wurde in der Community geteilt, als Warnungen erneut aufkamen. Zu den Best Practices gehören das regelmäßige Widerrufen von Genehmigungen, das Vermeiden von nicht verifizierten Links und die Nutzung von Hardware-Wallets anstelle von reinen Hot Wallets.

Cyvers bestätigte dies in einer Stellungnahme gegenüber BeInCrypto:

„Ja, Benutzerfehler, nicht auf Protokollebene“, erklärte Cyvers.

Die gestohlenen Gelder wurden bislang nicht getauscht und befinden sich weiterhin auf der Vertragsadresse des Angreifers.

„Dieser Vorfall zeigt, dass selbst erfahrene DeFi-Nutzer anfällig für ausgeklügelte Phishing-Methoden bleiben. Indem das Opfer dazu gebracht wurde, Token-Genehmigungen zu erteilen, konnte der Angreifer 27 Millionen US-Dollar aus einem Venus Protocol in einer einzigen Transaktion abziehen“, sagte Hakan Unal, Senior Security Operation Lead bei Cyvers.

Vor diesem Hintergrund warnte Unal die Nutzer davor, auf unbekannten Webseiten irgendetwas anzuklicken oder zu genehmigen, da Phisher häufig offizielle Seiten imitieren und subtile Änderungen an der Domain vornehmen.

Auf die Frage nach der Hoffnung auf Wiederherstellung erklärte der Sicherheitsexperte, dass zwar Bug-Bounties eine Option seien, aber Mixing-Services die Wiederbeschaffung der Vermögenswerte nahezu unmöglich machen.

„Während Nutzer eine Bug-Bounty on-chain anbieten können, landen gestohlene Gelder in den meisten Fällen in Mixern“, fügte Unal hinzu.

Bunni DEX Exploit zieht 8,4 Millionen US-Dollar ab

In einem separaten Vorfall wurde Bunni, eine dezentrale Börse (DEX) auf Basis von Uniswap v4, Opfer eines Exploits, bei dem über 8,4 Millionen US-Dollar auf Ethereum und UniChain abgezogen wurden.

Im Gegensatz zum Venus-Fall handelte es sich hierbei um eine echte Schwachstelle auf Protokollebene.

Bunni gab bekannt, dass alle Smart-Contract-Funktionen in allen Netzwerken pausiert wurden, während das Team den Vorfall untersucht:

„Die Bunni-App wurde von einem Sicherheits-Exploit betroffen. Vorsorglich haben wir alle Smart-Contract-Funktionen in allen Netzwerken pausiert“, bestätigte das Netzwerk.

Laut GoPlus Security resultierte der Exploit aus Schwächen in Bunnis eigener Liquidity Distribution Function (LDF).

Victor Tran, ein Blockchain-Entwickler, erklärte, wie der Angreifer die Kurve mit sorgfältig dimensionierten Trades manipulierte.

1. Bunni ist ein Liquiditätshook, der auf UniswapV4 läuft. Anstatt das normale System von UniswapV4 zu verwenden, hat Bunni seine eigene Liquiditätskurve namens LDF (Liquidity Distribution Function). 2. Nach jedem Trade prüft Bunni, ob sich die LDF-Kurve seit dem letzten Trade verändert hat. Falls ja,…

— Victor Tran 2. September 2025

Durch wiederholtes Auslösen von Fehlberechnungen während des Liquiditätsausgleichs konnte der Angreifer mehr Token abheben, als ihm zustanden, und Pools leeren, bevor er den Angriff mit zwei Swap-Schritten abschloss.

Tran betonte, dass zwar Bunnis Hook kompromittiert wurde, Uniswap v4 selbst jedoch unbeeinträchtigt blieb.

Die beiden Vorfälle verdeutlichen das fragile Gleichgewicht zwischen Innovation und Sicherheit im Bereich der dezentralen Finanzen (DeFi).

Der Verlust beim Venus Protocol unterstreicht das menschliche Element, bei dem ein einziger Klick ein Vermögen vernichten kann. Der Exploit bei Bunni hingegen zeigt, wie Präzisionsfehler neuartiger Mechanismen Liquidität gefährden können.

In einem Markt, in dem Milliarden auf dem Spiel stehen, kann ein einziger Fehler – ob menschlich oder technisch – verheerende Folgen haben.

Daher werden mit dem Wachstum des DeFi-Sektors Nutzeraufklärung und Protokollstrenge weiterhin entscheidend bleiben.