Куан Сан, основатель EurekaCrypto, детально описал в соцсети X сценарий хищения своих средств на платформе Venus Protocol — инцидент, который демонстрирует новую стадию развития киберугроз в DeFi-среде. Атака началась с личного контакта: в апреле на конференции Wanxiang в Гонконге Сан познакомился с человеком, представившимся сотрудником азиатского отдела Stack. Позже тот пригласил его на встречу через Zoom — инициатива не вызвала подозрений.
Во время видеозвонка появилось всплывающее уведомление: «Микрофон не работает — обновите страницу». Сан нажал кнопку — и тем самым активировал вредоносный скрипт. Позже выяснилось, что злоумышленники уже взломали его Telegram-аккаунт, а на встрече использовали дипфейк-технологию, чтобы имитировать внешность и голос реального сотрудника. Это была не спонтанная атака, а многоэтапная операция: преступники заранее изучили поведение Сана, его предпочтения и технические привычки — включая использование кошелька Rabby для работы с Venus Protocol.
Зная это, они подменили расширение Rabby в браузере Chrome на поддельную версию. Когда Сан позже выполнил стандартную операцию вывода средств, интерфейс выглядел абсолютно нормально — никаких предупреждений, никаких аномалий. Транзакция прошла, потому что фронтенд был под контролем злоумышленников, а бэкенд — нет. Только после повторного сбоя системы и выхода из Google-аккаунта Сан обнаружил подозрительную транзакцию и осознал масштаб происшедшего.
Особую тревогу вызывает его вывод: даже аппаратный кошелек не обеспечил защиту. Хотя он считается наиболее безопасным решением, в условиях DeFi пользователь часто вынужден «слепо» подписывать транзакции — без полного понимания, какие именно данные передаются. В данном случае аппаратный кошелек корректно выполнил подпись, но подписаны были вредоносные данные, подсунутые через поддельный интерфейс.
Сан подчеркнул: современные атаки — это гибрид социальной инженерии, дипфейков и технических троянов. Проверка профиля в X или просмотр видео больше не гарантируют подлинность собеседника. Уязвимость кроется не в кошельке и не в блокчейне — а в точке взаимодействия пользователя с интерфейсом.
Отрадно лишь то, что команда Venus Protocol отреагировала оперативно — менее чем за 12 часов аккаунт злоумышленника был заморожен, что позволило предотвратить полную потерю средств.
