Venus Protocol é pausado após usuário perder fundos em suspeita de ataque de phishing

Um grande usuário do Venus Protocol, um credor de finanças descentralizadas, teve cerca de US$ 13,5 milhões drenados após aparentemente assinar uma transação maliciosa que concedeu aprovações de tokens a um atacante, disseram empresas de segurança blockchain nesta terça-feira.

Em resposta ao incidente, o Venus pausou sua plataforma enquanto investiga o caso. “Estamos cientes da transação suspeita e estamos investigando ativamente”, escreveu a equipe no X. “O Venus está atualmente pausado seguindo os protocolos de segurança.”

A PeckShield afirmou que a vítima “aprovou uma transação maliciosa”, permitindo que o endereço “0x7fd…6202a” transferisse ativos da carteira. A CertiK acrescentou que a carteira havia chamado uma função updateDelegate para aprovar o atacante antes que os fundos fossem desviados, compartilhando um registro da transação na BNB Chain.

Além disso, moderadores do Venus Protocol informaram aos usuários em uma mensagem no Telegram que o próprio protocolo “permanece intocado”, embora engenheiros estejam revisando para ter certeza. "Para esclarecer, o Venus Protocol NÃO foi explorado. Um usuário foi atacado. O contrato inteligente está seguro", compartilhou a conta do projeto no X em meio à especulação de que a própria plataforma havia sido explorada.

Lançado em 2020, o Venus Protocol é um mercado de empréstimos descentralizado mais conhecido por sua implantação na BNB Chain e expansões adicionais no Ethereum, opBNB, Arbitrum, Optimism e zkSync. Ele permite que usuários forneçam colateral, tomem ativos emprestados e mintem a stablecoin VAI, com governança via o token XVS. O XVS caiu até 9% durante o problema, antes de se recuperar levemente até o momento da redação, mostram dados do Tradingview.

O vetor de ataque suspeito ecoa um problema comum em falhas de DeFi. Golpistas de phishing enganam usuários para assinarem aprovações de tokens que permitem que terceiros movimentem ativos. Uma vez concedidas, essas permissões podem ser usadas para drenar fundos até que sejam revogadas. Segundo o relatório de meio de ano da empresa de segurança blockchain CertiK, ataques de phishing representaram US$ 410 milhões em perdas de usuários de cripto na primeira metade de 2025 em 132 incidentes. Um relatório separado da Hacken, outra empresa de segurança Web3, estima US$ 600 milhões em perdas especificamente de esquemas de phishing e engenharia social durante o mesmo período.