loading...
2025年9月2日,社区用户 @KuanSun1990 在 Venus 协议上的多个头寸被恶意转移,损失金额约为1300万美元。慢雾(SlowMist)自主研发的 Web3 威胁情报与动态安全监控工具 MistEye 成功识别该异常行为,并协助开展链上分析。此次事件凸显了当前 DeFi 用户在资产存储与交易过程中的重大安全隐患。
(https://x.com/SlowMist_Team/status/1962854755585429877)
攻击者以商务合作为由,诱导目标用户加入伪造的 Zoom 在线会议。受害者在未核实域名的情况下匆忙接入,随后在其电脑上运行了恶意代码,导致设备被远程控制。由于部分记录已被清除,还原完整攻击路径存在挑战。
关键问题在于,用户使用的是知名官方扩展钱包,却在硬件钱包盲签状态下签署了被篡改的交易。原本应发起的 redeemUnderlying 操作,被替换为 updateDelegate 操作,致使头寸被委托给攻击者。
Chrome 浏览器对从官方商店下载的扩展具备完整性校验机制,一旦代码被修改即会提示“已损坏”。因此,攻击者不可能直接篡改官方扩展文件。
经慢雾团队研究,存在两种可能实现方式:
在 Chrome 开发者模式下,复制官方扩展源码并导入浏览器,可生成一个与官方扩展 ID 一致、但代码可自由修改的新扩展。该机制依赖于 manifest.json 文件中的 key 保持不变。
通过 Patch Chrome 内部函数,全局关闭扩展内容完整性检查。此操作在 macOS 上需重新签名方可运行,但可行性较高。
以上方法目前仅为推测,尚无确凿证据证明攻击者实际采用。然而,其手法高度依赖于用户对开发环境的认知盲区与信任误判。
攻击者于9月1日提前筹集约21.18个BTCB与205,000个XRP,为后续接管头寸做准备。经过约10小时等待,当受害者连接硬件钱包并访问 Venus 官网时,攻击正式开始。
用户本意是赎回 USDT,但因扩展钱包被篡改,交易数据被替换为 updateDelegate 指令。由于硬件钱包缺乏“所见即所签”验证机制,且开启盲签功能,用户在未察觉的情况下完成了签名。
(https://bscscan.com/tx/0x75eee705a234bf047050140197aeb9616418435688cfed4d072be75fcb9be0e2)
完成头寸委托后,攻击者立即启动闪电贷机制。通过 Lista 平台借入约285个BTCB,结合自有资产,为受害用户偿还了约306.89个BTCB与152,673.96个XRP的债务。
在债务清偿后,攻击者将受害用户的抵押品(USDT/USDC/WBETH/FDUSD/ETH)全部赎回至其控制地址,试图实现利润最大化。
就在攻击者即将获利之际,Venus 团队迅速反应,立即暂停协议运营,并封锁所有 EXIT_MARKET 操作,阻止进一步资产转移。
(https://bscscan.com/tx/0xe4a66f370ef2bc098d5f6bf2a532179eea400e00e4be8ea5654fa9e8aeee65bf#eventlog)
随后,团队发起紧急提案投票,决定强制清算攻击者头寸。最终,通过链上合约执行清算,成功为原用户追回全部被盗资产。
链上反洗钱工具 MistTrack 显示,相关地址曾从 ChangeNOW 提币。此外,多个关联地址与 1inch、Across Protocol 及受制裁交易所 eXch 存在频繁交互,暗示可能存在混币或跨链洗钱行为。
本次事件是一起典型的高阶网络钓鱼攻击案例。攻击者结合社会工程学、浏览器扩展漏洞利用、闪电贷套利与链上资金操控,形成闭环攻击链条。虽然最终被及时拦截,但暴露出用户在资产存储、交易验证与系统认知方面的深层风险。
核心教训包括:避免在非可信环境下启用开发者模式;优先使用支持“所见即所签”的钱包;警惕任何未经核实的会议链接;以及强化对 DeFi 协议应急机制的信任。随着 Layer2 动态与多链生态发展,区块链分析与主动防御能力将成为保障数字资产安全的关键支撑。
473
904
740
371
892
604
489
744
225
838
