loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸被非法转移,损失金额约为1300万美元。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功捕获该异常行为,并协助展开深入分析。此次事件成为近期最典型的高价值资产被盗案例之一,引发对去中心化金融(DeFi)安全机制的广泛讨论。
(https://x.com/SlowMist_Team/status/1962854755585429877)
攻击者通过伪造Zoom在线会议链接,诱导目标用户参与虚假商务洽谈。受害者在未核实域名的情况下匆忙加入会议,期间被攻击者持续施压,未能识别页面中的异常升级提示。最终其电脑被远程控制,攻击者借此篡改了浏览器中安装的钱包扩展代码。
值得注意的是,尽管用户使用的是知名官方扩展钱包,但由于其开启了Chrome开发者模式,攻击者可复制官方扩展文件并修改manifest.json内容,使新扩展拥有与官方一致的ID,从而绕过Chrome内置的完整性校验机制。
攻击者首先于9月1日筹集约21.18个BTCB与205,000个XRP,为后续操作做准备。待受害者触发赎回操作时,原本应执行的redeemUnderlying函数被替换为updateDelegate委托操作。
由于用户依赖硬件钱包进行签名,而该设备缺乏“所见即所签”验证机制,且开启盲签功能,导致用户在不知情情况下签署了恶意交易。此过程完全由被篡改的扩展钱包完成,用户无法察觉交易内容已被更改。
攻击者在完成头寸委托后立即发起攻击,通过Lista闪电贷借入约285个BTCB,结合自有资产为受害者偿还贷款,实现“伪还款”以掩盖其控制意图。
随后,攻击者将受害用户的抵押品(USDT/USDC/WBETH/FDUSD/ETH)全部赎回至自身地址。为归还闪电贷,攻击者选择将这些资产重新存入Venus协议并借出BTCB,避免直接在DEX中兑换带来的滑点损失。
在攻击者完成头寸接管后,Venus团队迅速反应,第一时间暂停协议运行,并冻结所有EXIT_MARKET操作,有效阻断进一步获利行为。
随后,团队发起紧急提案投票,推动强制清算攻击者头寸。经链上确认,攻击者的抵押品被系统清算,被盗资金得以全额追回。
链上反洗钱工具MistTrack显示,攻击相关地址曾从ChangeNOW提币。此外,多笔交互记录指向1inch、Across Protocol等跨链平台,以及受制裁交易所eXch,表明攻击者试图通过混币与跨链转移隐藏资金流向。
本次事件是一起高度复杂的网络钓鱼攻击,攻击者精准利用社会工程学、浏览器扩展漏洞及DeFi协议逻辑缺陷,实现了对用户资产的隐蔽转移。虽然攻击流程看似精密,但得益于Venus团队快速响应与协议治理机制的有效运作,最终实现资金追回。
该案例再次强调“所见即所签”机制的重要性,提醒用户警惕开发者模式下的扩展风险,同时验证了去中心化协议在面临重大安全事件时的应急处置能力。未来,强化资产存储安全性与提升链上审计透明度,将成为保障Web3生态稳定发展的关键环节。
814
530
203
727
891
285
390
895
776
324
