Venus Protocol se detiene después de que un usuario pierde fondos en un presunto ataque de phishing

Un gran usuario de Venus Protocol, un prestamista de finanzas descentralizadas, fue despojado de aproximadamente 13.5 millones de dólares después de aparentemente firmar una transacción maliciosa que otorgó aprobaciones de tokens a un atacante, informaron el martes varias firmas de seguridad blockchain.

En respuesta al incidente, Venus ha pausado su plataforma mientras se lleva a cabo una investigación. “Somos conscientes de la transacción sospechosa y estamos investigando activamente”, escribió el equipo en X. “Venus está actualmente pausado siguiendo los protocolos de seguridad.”

PeckShield indicó que la víctima “aprobó una transacción maliciosa”, permitiendo que la dirección “0x7fd…6202a” transfiriera activos fuera de la billetera. CertiK añadió que la billetera había llamado a una función updateDelegate para aprobar al atacante antes de que los fondos fueran drenados, compartiendo un registro de la transacción en BNB Chain.

Además, los moderadores de Venus Protocol informaron a los usuarios en un mensaje de Telegram que el protocolo en sí “permanece intacto”, aunque los ingenieros están verificando nuevamente para asegurarse. "Para aclarar, Venus Protocol NO ha sido explotado. Un usuario ha sido atacado. El contrato inteligente es seguro", compartió la cuenta del proyecto en X en medio de la especulación de que la propia plataforma había sido explotada.

Lanzado en 2020, Venus Protocol es un mercado de préstamos descentralizado conocido principalmente por su implementación en BNB Chain y despliegues adicionales en Ethereum, opBNB, Arbitrum, Optimism y zkSync. Permite a los usuarios suministrar colateral, pedir prestados activos y acuñar la stablecoin VAI, con gobernanza a través del token XVS. XVS cayó hasta un 9% durante el incidente, antes de recuperarse ligeramente al momento de escribir esto, según datos de Tradingview.

El vector de ataque sospechoso refleja un problema común en los fallos de DeFi. Los estafadores de phishing engañan a los usuarios para que firmen aprobaciones de tokens que permiten a terceros mover activos. Una vez concedidos, esos permisos pueden ser utilizados para drenar fondos hasta que se revoquen. Según el informe de mitad de año de la firma de seguridad blockchain CertiK, los ataques de phishing representaron 410 millones de dólares en pérdidas para los usuarios de criptomonedas en la primera mitad de 2025 a través de 132 incidentes. Un informe separado de Hacken, otra firma de seguridad Web3, estima 600 millones de dólares en pérdidas específicamente por esquemas de phishing e ingeniería social durante el mismo período.