El trader de Venus Protocol pierde 30 millones de dólares por un error grave, confirma Cyvers

Un incidente dramático en Venus Protocol ha resultado en la pérdida de casi 30 millones de dólares en activos.

Mientras que muchos inicialmente sospecharon de un hackeo, los analistas de seguridad blockchain de Cyvers confirmaron a BeInCrypto que esto fue un error del usuario, no una vulnerabilidad en el propio protocolo.

Estafa de phishing cuesta a un usuario de Venus Protocol 30 millones de dólares, no un hackeo al protocolo

PeckShield fue el primero en señalar la actividad sospechosa, observando que un usuario de Venus Protocol había sido despojado de aproximadamente 27 millones de dólares tras caer víctima de una estafa de phishing.

Un usuario de @VenusProtocol ha perdido aproximadamente 27 millones de dólares en cripto tras caer en una estafa de #phishing. La víctima aprobó una transacción maliciosa, otorgando aprobación de tokens a la dirección del atacante (0x7fd8…202a) para la transferencia de activos.

— PeckShieldAlert 2 de septiembre de 2025

El atacante obtuvo acceso engañando a la víctima para que aprobara una transacción maliciosa, lo que otorgó permisos ilimitados para transferir activos desde la billetera.

Los tokens robados incluyeron alrededor de 19.8 millones de dólares en vUSDT, 7.15 millones de dólares en vUSDC, 146,000 dólares en vXRP, 22,000 dólares en vETH, e incluso 285 BTCB, representando lo que los observadores describieron como “riqueza generacional”.

El analista de DeFi Ignas también opinó, señalando que Venus en sí “funcionó como estaba previsto” y que el incidente se debió a que el atacante explotó autorizaciones pre-aprobadas desde la billetera comprometida.

“Una mala aprobación y boom—estás acabado. Ese es el lado oscuro de DeFi: las aprobaciones abiertas son poderosas, pero también mortales si no tienes cuidado”, escribió el analista Crypto Jargon.

El sentimiento fue compartido en toda la comunidad mientras resurgían las advertencias. Las mejores prácticas incluyen revocar aprobaciones regularmente, evitar enlaces no verificados y usar billeteras de hardware en lugar de depender únicamente de billeteras calientes.

Cyvers confirmó esto en una declaración a BeInCrypto:

“Sí, error del lado del usuario, no a nivel de protocolo”, articuló Cyvers.

Los fondos robados permanecen sin intercambiar, retenidos en la dirección de contrato del atacante.

“Este incidente muestra que incluso los usuarios experimentados de DeFi siguen siendo vulnerables a esquemas de phishing sofisticados. Al engañar a la víctima para que otorgara aprobaciones de tokens, el atacante pudo drenar 27 millones de dólares de Venus Protocol en una sola transacción”, dijo Hakan Unal, Senior Security Operation Lead en Cyvers.

En este contexto, Unal advirtió a los usuarios que no hagan clic ni aprueben nada en sitios web desconocidos, ya que los phishers a menudo suplantan sitios oficiales y hacen cambios sutiles en los dominios.

Cuando se le preguntó sobre las esperanzas de recuperación, el experto en seguridad indicó que, si bien las recompensas por bugs son una opción, los servicios de mezcla hacen que la recuperación de activos sea casi imposible.

“Si bien los usuarios pueden ofrecer una recompensa por bug en la cadena, en la mayoría de los casos, los fondos robados terminan en mezcladores”, añadió Unal.

Explotación de Bunni DEX drena 8.4 millones de dólares

En un incidente separado, Bunni, un exchange descentralizado (DEX) construido sobre Uniswap v4, sufrió una explotación que drenó más de 8.4 millones de dólares entre Ethereum y UniChain.

A diferencia del caso de Venus, esta fue una vulnerabilidad genuina a nivel de protocolo.

Bunni anunció que había pausado todas las funciones de contratos inteligentes en todas las redes mientras su equipo investiga:

“La aplicación Bunni se ha visto afectada por una explotación de seguridad. Como precaución, hemos pausado todas las funciones de contratos inteligentes en todas las redes”, confirmó la red.

Según GoPlus Security, la explotación se originó en debilidades en la función personalizada de distribución de liquidez (LDF) de Bunni.

Victor Tran, un desarrollador blockchain, explicó cómo el atacante manipuló la curva con operaciones cuidadosamente dimensionadas.

1. Bunni es un liquidity hook que funciona sobre UniswapV4. En lugar de usar el sistema normal de UniswapV4, Bunni tiene su propia curva de liquidez llamada LDF (Liquidity Distribution Function). 2. Después de cada operación, Bunni verifica si su curva LDF ha cambiado desde la última operación. Si es así,…

— Victor Tran 2 de septiembre de 2025

Al activar repetidamente errores de cálculo durante el reequilibrio de liquidez, el explotador pudo retirar más tokens de los que debía, vaciando los pools antes de finalizar el ataque con dos pasos de swap.

Tran enfatizó que, aunque el hook de Bunni fue comprometido, Uniswap v4 en sí mismo permaneció sin afectar.

Los dos incidentes resaltan el delicado equilibrio entre innovación y seguridad en las finanzas descentralizadas (DeFi).

La pérdida de Venus Protocol destaca el elemento humano, donde un solo clic puede borrar fortunas. Mientras tanto, la explotación de Bunni revela cómo los fallos de precisión en mecanismos novedosos pueden exponer la liquidez.

En un mercado donde hay miles de millones en juego, un solo error, ya sea humano o técnico, puede resultar devastador.

Por lo tanto, a medida que el sector DeFi se expande, la educación del usuario y el rigor en los protocolos seguirán siendo críticos.