Как взломали пользователя Venus Protocol и почему удалось вернуть $13 млн
Мошенник провел сложную атаку с использованием методов социальной инженерии и взломом расширения для браузера
08.09.2025
483
6 мин
0
2 сентября 2025 года пользователь с ником @KuanSun1990 стал жертвой атаки, из-за которой он потерял около $13 млн в протоколе Venus. GetBlock AML Research детально объясняет, как мошенник смог завладеть активами жертвы.
Причина происшествия
Пользователь случайно открыл ссылку на Zoom, поддельную, созданную мошенниками. На этом сайте его заставили установить вредоносный код. В результате злоумышленники получили полный контроль над его компьютером.
Многие записи в системе были удалены, поэтому расследование осложнилось. Сам пострадавший вспомнил, что пользовался известным кошельком-расширением для браузера. Он подозревает, что мошенники подменили код этого кошелька у него на компьютере.
В итоге, когда пользователь хотел вывести свои средства через аппаратный кошелек, операция была изменена: вместо вывода токенов была запущена команда, которая передала контроль над его активами мошеннику.
Пользователь Venus Protocol потерял $27 млн из-за фишинга
Потери произошли из-за скомпрометированного кошелька, а не уязвимости Venus Protocol. В тот же день хакеры атаковали DeFi-платформу Bunni на $2,3 млн
Как действовал мошенник
Злоумышленник использовал метод социальной инженерии. Он притворился деловым партнером и пригласил жертву на встречу в Zoom, отправив ссылку в Telegram.
Так как у жертвы совпадали несколько встреч, он спешил и не обратил внимания, что домен сайта не настоящий. Мошенник во время разговора торопил его и не дал заподозрить, что предлагаемые обновления на сайте были вредоносными. В итоге компьютер полностью оказался под контролем преступника.
Подмена кошелька
После захвата устройства мошенник изменил код в расширении браузера, которое использовалось для работы с кошельком. Теперь это расширение могло подменять данные транзакций.
Аппаратный кошелек жертвы не имел механизма проверки «что вижу, то и подписываю» и поддерживал «слепую подпись». Из-за этого пользователь подписал подмененную транзакцию, даже не подозревая об этом.
Подготовка атаки
За день до инцидента (1 сентября) мошенник перевел на свои адреса 21,18 BTCB и 205 000 XRP, чтобы использовать эти средства для захвата активов жертвы.
Через 10 часов после заражения компьютера жертва зашла на официальный сайт Venus и попыталась вывести токены USDT. Однако расширение, измененное хакером, подменило операцию. Вместо вывода средств была выполнена команда передачи прав на управление активами мошеннику.
Взлом Bybit на $1,5 млрд спустя полгода. Как инцидент изменил индустрию
Северокорейским хакерам, которые стоят за взломом биржи Bybit, пришлось изобрести новые способы отмывания криптовалюты, поскольку они оказались в уникальной для индустрии ситуации

Транзакция делегирования позиций на Venus мошеннику
Ход атаки
После получения контроля злоумышленник сразу взял флэш-кредит через сервис Lista, чтобы занять дополнительные активы. Он погасил часть долгов жертвы в Venus, а затем получил доступ к его залоговым активам (USDT, USDC, WBETH, FDUSD, ETH) и вывел их на свои адреса.
Чтобы рассчитаться по флэш-кредиту, он снова внес часть активов в Venus и взял в долг BTCB.
Реакция команды Venus
Когда мошенник уже контролировал позиции жертвы, но не успел провести новые операции, команда Venus успела вмешаться:
- они приостановили работу протокола,
- заблокировали возможность вывода средств,
- запустили экстренное голосование по восстановлению работы системы.

Заявление команды Venus по поводу инцидента
В итоге команда Venus принудительно ликвидировала позиции мошенника и вернула украденные активы жертве. Также было выявлено, что мошенник переводил часть средств через обменник ChangeNOW, различные децентрализованные протоколы (1inch) и биржу eXch.

Граф связей адреса мошенника
Полезный материал?
Расследования
Один и тот же криптовалютный адрес получил две полностью противоположные оценки от разных аналитических систем: от обычного сервиса азартных игр до крайне тяжкого уголовного преступления. Эта история стала поводом для обсуждения того, какими должны быть научные стандарты анализа блокчейна и почему ошибки в подобных системах способны повлиять на судьбы людей
1 июл. 2026 г.
Расследования
Блокчейн помог выявить связи между криптовалютными сборами средств, обменниками в Сирии и посредниками в нескольких странах мира. Обнаружена характерная схема, при которой одни и те же адреса использовались сразу в нескольких кампаниях по сбору пожертвований
24 июн. 2026 г.
Расследования
Четыре иранские криптовалютные биржи обеспечивали около 78% всего объема цифровых активов, связанных со страной в 2025 году. Теперь они оказались в центре крупнейшей санкционной кампании США против криптовалютной инфраструктуры Ирана.
5 июн. 2026 г.
Расследования
На публичных блокчейнах уже работает финансовая система с кредитами, аналогами облигаций США и автоматическими рынками капитала. Через DeFi-протоколы прошло более $551 млрд, но большая часть этой активности связана не с экономикой, а со спекулятивным наращиванием рисков
29 мая 2026 г.
Расследования
Около 97% китайских поставщиков химических веществ для производства фентанила принимают оплату в криптовалюте. Объем таких операций продолжает расти вместе с глобальным рынком синтетических наркотиков
22 мая 2026 г.
Расследования
Новый закон впервые делает блокчейн-аналитику официальным обязательным инструментом финансового контроля в США. Власти также получат право ограничивать операции с иностранными криптосервисами, связанными с рисками отмывания денег
20 мая 2026 г.