Трейдер потерял $27 млн из‑за фишинга: Уроки для пользователей DeFi

Коротко: пользователь Venus на BNB Chain лишился около $27 млн после одобрения вредоносной транзакции. Хакер воспользовался ранее выданными разрешениями и опустошил кошелёк. По данным проекта, уязвимости в смарт‑контрактах Venus не обнаружено.

Как произошёл инцидент

Аналитики отметили, что ключевой триггер — подписанное жертвой вредоносное разрешение, которое дало злоумышленнику право перемещать токены от имени владельца. С кошелька вывели примерно $19,8 млн в vUSDT и $7,15 млн в vUSDC.

Ход атаки по шагам

1. Хакер погасил долг пользователя, чтобы разблокировать залоговые активы.


2. Используя выданные ранее разрешения, занял USDC на свой адрес.


3. Вывел vTokens на собственный кошелёк.


4. Адрес жертвы был полностью опустошён.

Неограниченное разрешение на управление активами фактически открыло доступ к средствам без дополнительного участия владельца.

Что говорит сообщество

• Ignas (Pink Brains) подчёркивает важность регулярного контроля и отзыва разрешений. По его словам, кейс — напоминание, что риск кроется не только в коде, но и в пользовательских действиях.


• Crypto Jargon подтвердил, что причиной стала выдача неограниченного доступа через вредоносное разрешение.

Важно: на бычьем рынке активность мошенников традиционно возрастает. Бдительность и гигиена безопасности — обязательны.

Ещё один инцидент: взлом Bunni

Децентрализованная биржа Bunni (Ethereum) лишилась около $2,3 млн из‑за уязвимости в смарт‑контрактах. Было выведено около $1,33 млн в USDC и $1,04 млн в USDT. Команда приостановила работу контрактов и призвала пользователей вывести средства.

Этот случай подчёркивает, что риски в DeFi бывают как со стороны пользователей (фишинг, неосторожные подписи), так и со стороны разработчиков (уязвимости в коде).

Практические советы по безопасности DeFi

Мини‑чеклист перед каждой подписью

• Проверяйте домен и источник ссылки. Избегайте переходов по подозрительным URL.


• Читайте, что подписываете: «permit», «approve», «increaseAllowance» — повод для повышенной внимательности.


• Сверяйте адреса контрактов с официальными источниками проекта.

Гигиена разрешений (allowances)

• Регулярно просматривайте и отзывайте неиспользуемые и неограниченные разрешения.


• Выдавайте минимально необходимый лимит вместо «безлимита».


• Используйте отдельные кошельки для хранения и для ежедневных взаимодействий с dApp.

Хранение и подпись

• Держите крупные суммы на аппаратных кошельках.


• Включите whitelist адресов и функции подтверждения на устройстве, если доступны.


• Подписывайте транзакции в спокойной обстановке, избегайте «спешных» кликов.

Операционные привычки

• Следите за объявлениями команд и предупреждениями исследовательских фирм.


• Проверяйте активность кошелька через обозреватели: необычные разрешения и взаимодействия — сигнал к ревизии.


• Для airdrop‑охоты используйте «песочницу» — отдельный кошелёк с небольшим балансом.

Истории с потерей $27 млн на Venus и взломом Bunni показывают: DeFi — пространство повышенного риска. Здесь выигрывает тот, кто сочетает интерес к новым возможностям с дисциплиной и осторожностью. Один необдуманный клик действительно может стоить миллионов, но системный подход к безопасности существенно снижает риски.