loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸被恶意转移,造成约1300万美元损失。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功捕获此次异常行为,并协助开展深入分析。该事件暴露了当前DeFi生态中高危的社会工程学攻击路径,引发市场对资产存储安全的广泛关注。
(https://x.com/SlowMist_Team/status/1962854755585429877)
攻击者以商务合作为名,通过Telegram发送伪造的Zoom会议链接,诱导目标用户加入。由于会议时间冲突,受害者未核实浏览器域名真实性,匆忙接入后被引导执行恶意操作。攻击者利用紧迫情境下的心理压力,规避了基本的安全验证流程。
在控制用户设备后,攻击者通过修改浏览器扩展钱包代码,实现交易数据篡改。关键问题是:为何知名官方扩展仍可被篡改?答案在于Chrome浏览器的开发者模式机制——只要保留原manifest.json中的key,即可创建具有相同ID但可自由修改代码的新扩展,绕过完整性校验。
此外,攻击者可能还通过Patch Chrome扩展验证函数的方式,全局关闭内容完整性检查,进一步提升控制能力。尽管具体技术细节尚未完全确认,但该攻击路径已被慢雾团队列为典型高级威胁案例。
攻击者于9月1日提前筹集约21.18个BTCB与20.5万枚XRP,为接管头寸做准备。经过10小时等待,当受害者使用硬件钱包发起赎回操作时,系统已将原本的redeemUnderlying函数替换为updateDelegate函数。
由于硬件钱包缺乏“所见即所签”验证机制,且开启盲签功能,用户在无感知情况下签署了委托指令,导致其头寸被转移至攻击者地址。
随后,攻击者立即启动闪电贷策略:通过Lista借入285个BTCB,结合自有资产完成还款,使受害用户的债务被清偿。此时,攻击者已合法拥有其抵押品,遂将其全部赎回至自身控制地址。
为归还闪电贷,攻击者选择将赎回的USDT/USDC/WBETH等资产重新存入Venus协议并借出BTCB,避免直接在DEX兑换造成的滑点损失。
在攻击者完成操作后,Venus团队迅速反应,第一时间暂停协议运行,并禁止所有EXIT_MARKET操作,切断攻击者后续获利路径。
(https://bscscan.com/tx/0xe4a66f370ef2bc098d5f6bf2a532179eea400e00e4be8ea5654fa9e8aeee65bf#eventlog)
随后,团队发起紧急提案投票,决定强制清算攻击者头寸,最终成功追回全部被盗资金。这一处置方式体现了DeFi协议在面临重大安全事件时的自我修复能力。
慢雾旗下链上反洗钱工具MistTrack显示,攻击相关地址曾从ChangeNOW提币,存在跨链资金流转痕迹。
其他关联地址与1inch、Across Protocol等主流平台交互频繁,同时涉及受制裁交易所eXch,显示出明显的洗钱意图和多层跳转特征。
本次事件是一起典型的复合型网络攻击,融合社会工程学、浏览器扩展篡改、闪电贷套利与链上洗钱等多个环节,展示了攻击者高度的专业化水平。虽然攻击过程精密,但得益于Venus团队快速响应与治理机制的有效运作,最终实现资金追回。
此案例再次凸显在当前去中心化金融环境中,资产存储安全的重要性。用户应警惕非官方渠道的链接请求,禁用开发者模式下的非必要扩展,优先选择支持“所见即所签”的硬件钱包,并避免开启盲签功能。同时,协议方需持续强化链上监控与应急响应体系,防范类似攻击再度发生。
473
904
740
371
892
604
489
744
225
838
