loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸被恶意转移,造成约1300万美元损失。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功识别该异常行为,并协助开展链上分析。以下为完整事件复盘。
(https://x.com/SlowMist_Team/status/1962854755585429877)
攻击者通过社会工程学手段诱导受害者加入伪造的Zoom在线会议,其后在受害设备上运行恶意代码,导致系统被远程控制。由于相关操作记录已被清除,分析难度较大。据受害者回忆,其使用的是知名官方扩展钱包,怀疑攻击者篡改了浏览器扩展钱包的代码。原本应由硬件钱包发起的资产赎回操作,被替换为头寸委托操作,最终导致其在Venus上的头寸被接管。
攻击者以商务合作为诱饵,在Telegram中发送伪装成官方的Zoom会议链接。受害者因时间冲突匆忙参会,未核实浏览器域名是否为Zoom官方地址。攻击者在会议中持续施压,使受害者在高压环境下未能识别页面上的升级提示是否存在恶意行为。
最终,受害者电脑被完全控制。关于具体入侵方式,可参考Web3钓鱼演练平台Unphishable #NO.0x0036关卡提供的模拟挑战。
攻击者在获取设备控制权后,修改了浏览器扩展钱包的代码,劫持并篡改交易数据。由于受害者使用的硬件钱包缺乏“所见即所签”验证机制,且开启盲签功能,导致其在不知情的情况下签署了被篡改的updateDelegate交易。
那么,攻击者如何实现与官方扩展ID一致却能修改代码?研究显示存在两种可能路径:
在Chrome开发者模式下,复制官方扩展文件并导入浏览器,可生成同ID但可任意修改代码的新扩展。关键在于manifest.json中的key保持一致。
通过Patch Chrome扩展内容验证函数,全局关闭完整性检查。在macOS上需重新签名以维持程序可用性。
上述方法为慢雾安全团队内部推测,尚未有确凿证据证明攻击者实际采用。
攻击前,攻击者于9月1日筹集约21.18个BTCB与205,000个XRP,为接管头寸做准备。
经过约10小时等待,攻击者抓住受害者操作时机。当用户通过硬件钱包连接扩展钱包访问Venus官网并准备赎回USDT时,系统调用的redeemUnderlying函数被篡改为updateDelegate操作。由于硬件钱包无法解析交易细节,盲签状态下用户签署后,头寸被委托至攻击者地址。
(https://bscscan.com/tx/0x75eee705a234bf047050140197aeb9616418435688cfed4d072be75fcb9be0e2)
完成委托后,攻击者立即启动闪电贷策略。通过Lista借入约285个BTCB,叠加自有资产,为受害者偿还贷款约306.89个BTCB与152,673.96个XRP。
还款完成后,攻击者立即将受害用户的抵押品(USDT/USDC/WBETH/FDUSD/ETH)全部赎回至其控制地址。
为归还闪电贷,攻击者选择将抵押品重新存入Venus并借出BTCB,避免在DEX直接兑换造成的滑点损失。
然而,在攻击者完成操作、尚未获利之际,Venus团队迅速响应,立即暂停协议,并封锁所有EXIT_MARKET功能,阻止进一步操作。
(https://bscscan.com/tx/0xe4a66f370ef2bc098d5f6bf2a532179eea400e00e4be8ea5654fa9e8aeee65bf#eventlog)
随后,Venus团队发起紧急提案投票,旨在恢复协议安全的同时追回被盗资金。
最终,通过强制清算攻击者头寸,团队成功追回全部被盗资金。
链上反洗钱工具MistTrack进一步发现,攻击者关联地址曾从ChangeNOW提币。
其他相关地址亦与1inch、Across Protocol及受制裁交易所eXch存在交互。
本次事件是一起高度复杂的网络钓鱼攻击案例。攻击者通过伪造会议链接控制用户设备,利用Chrome开发者模式特性篡改钱包扩展代码,将资产赎回操作非法替换为头寸委托。尽管手法精密,但Venus团队展现出卓越应急响应能力,通过快速暂停协议与强制清算,有效防止损失扩大,并成功追回资金。该事件再次凸显区块链生态中“人因风险”的核心地位,以及对硬件钱包验证机制和扩展安全性的深层审视。
530
727
891
285
390
877
595
913
