Venus Protocol se detiene después de que un usuario pierde fondos en un presunto ataque de phishing

Un gran usuario de Venus Protocol, un prestamista de finanzas descentralizadas, fue despojado de aproximadamente 13.5 millones de dólares después de aparentemente firmar una transacción maliciosa que otorgó aprobaciones de tokens a un atacante, según informaron el martes firmas de seguridad blockchain.

En respuesta al incidente, Venus ha pausado su plataforma mientras se lleva a cabo una investigación. “Estamos al tanto de la transacción sospechosa y estamos investigando activamente”, escribió el equipo en X. “Venus está actualmente pausado siguiendo los protocolos de seguridad.”

PeckShield indicó que la víctima “aprobó una transacción maliciosa”, permitiendo a la dirección “0x7fd…6202a” transferir activos fuera de la billetera. CertiK agregó que la billetera había llamado a una función updateDelegate para aprobar al atacante antes de que los fondos fueran drenados, compartiendo un registro de la transacción en BNB Chain.

Además, los moderadores de Venus Protocol informaron a los usuarios en un mensaje de Telegram que el protocolo en sí “permanece intacto”, aunque los ingenieros están revisando nuevamente para asegurarse. "Para aclarar, Venus Protocol NO ha sido explotado. Un usuario ha sido atacado. El contrato inteligente es seguro", compartió la cuenta del proyecto en X en medio de la especulación de que la plataforma misma había sido explotada.

Lanzado en 2020, Venus Protocol es un mercado de préstamos descentralizado conocido principalmente por su implementación en BNB Chain y despliegues adicionales en Ethereum, opBNB, Arbitrum, Optimism y zkSync. Permite a los usuarios aportar colateral, pedir activos prestados y acuñar la stablecoin VAI, con gobernanza a través del token XVS. XVS cayó hasta un 9% durante el incidente, antes de recuperarse levemente al momento de escribir esto, según datos de Tradingview.

El vector de ataque sospechoso refleja un problema común en los fallos de DeFi. Los estafadores de phishing engañan a los usuarios para que firmen aprobaciones de tokens que permiten a terceros mover activos. Una vez otorgados, esos permisos pueden ser utilizados para drenar fondos hasta que se revoquen. Según el informe de mitad de año de la firma de seguridad blockchain CertiK, los ataques de phishing representaron pérdidas de 410 millones de dólares de usuarios cripto en la primera mitad de 2025 a través de 132 incidentes. Un informe separado de Hacken, otra firma de seguridad Web3, estima pérdidas de 600 millones de dólares específicamente por esquemas de phishing e ingeniería social durante el mismo período.