Liquidation par phishing sur Venus Protocol

En mars 2026, un grand utilisateur de Venus Protocol a été phishé pour signer une délégation/approbation qui a remis le contrôle du compte à un attaquant, qui a ensuite drainé la position substantielle fournie par la victime (~3,7 M$). Les contrats de Venus n'ont jamais été compromis — la perte était entièrement une compromission d'autorisation de wallet côté utilisateur. Via la coordination avec la DAO Venus et le gel on-chain, les fonds ont été largement récupérés.

Ce qui s'est passé

La victime — rapportée comme un gros détenteur — a signé une transaction malveillante (délégation/approbation) via un site de phishing, accordant à un attaquant la capacité d'agir sur sa position Venus. L'attaquant a emprunté/retiré contre elle. La gouvernance Venus et les partenaires de sécurité ont coordonné un gel et les fonds ont été substantiellement récupérés.

Conséquences

• Grande récupération via coordination DAO ; utilisateur remboursé/fonds retournés.
• Renforce qu'il s'agissait d'un incident de phishing, pas d'un exploit de protocole.

Pourquoi c'est important

L'incident Venus Protocol appartient à la catégorie phishing côté utilisateur du catalogue (Whale Hunter's Payday), pas à ses catégories de bugs de protocole. Son inclusion souligne une distinction que le catalogue prend soin de tracer : un protocole peut être entièrement sain et être quand même le théâtre d'une perte à plusieurs millions de dollars, parce que le maillon faible en DeFi est de plus en plus l'humain signant la transaction, pas le contrat la recevant. La récupération — rendue possible par la coordination DAO/gouvernance et la transparence on-chain — est aussi un point de données 2026 positif : à mesure que l'infrastructure de réponse mûrit, même des pertes individuelles de phishing sont parfois récupérées, ce qui était rarement vrai plus tôt dans le jeu de données.