loading...
2025年9月2日,社区用户 @KuanSun1990 在 Venus 协议上的多个头寸遭转移,损失约1300万美元。慢雾(SlowMist)自主研发的 Web3 威胁情报与动态安全监控工具 MistEye 成功识别该异常行为,并协助开展链上追踪与攻击路径还原。此次事件成为近期区块链安全领域的重要案例。
攻击者采用社会工程学手段,以商务合作为名诱导目标用户加入伪装成 Zoom 的在线会议。受害者在未核验域名的情况下匆忙接入,随后在高压催促下点击恶意链接,其电脑被远程控制。由于相关聊天记录已删除,完整攻击链条难以复现,但初步调查显示,攻击者可能通过 Chrome 开发者模式创建了与官方钱包扩展 ID 一致但代码可修改的“假扩展”,从而实现交易数据劫持。
Chrome 浏览器对官方扩展具有严格的完整性校验机制,一旦代码被篡改即提示“扩展已损坏”。然而,攻击者利用开发者模式允许导入自定义扩展的特性,复制官方 manifest.json 文件中的 key,生成一个拥有相同 ID 且可自由修改代码的扩展,绕过了系统检测。
此外,攻击者可能通过 Patch Chrome 内部函数或重新签名程序,在 macOS 等系统上关闭完整性验证。尽管具体方式尚未确认,但该技术路径已被慢雾安全团队列为高风险威胁模型。
攻击者于9月1日提前部署资金,筹集约21.18个 BTCB与205,000个 XRP,为接管头寸做准备。在等待约10小时后,当受害者使用硬件钱包发起赎回操作时,其原本应调用的 redeemUnderlying 函数被替换为 updateDelegate 操作。
由于受害者启用盲签功能且硬件钱包缺乏“所见即所签”验证机制,未能察觉交易内容已被篡改,最终签署委托指令,将头寸授权给攻击者。
链上交易记录 显示,攻击者随即启动闪电贷策略,从 Lista 借入约285个 BTCB,结合自有资产完成还款,使受害用户头寸变为可提取状态。
攻击者完成资产转移后,试图通过再次存入抵押品并借出 BTCB 归还闪电贷,以实现净获利。但 Venus 团队在监测到异常后迅速反应,立即暂停协议,并封锁所有市场退出操作(EXIT_MARKET),阻止进一步提款。
随后,团队发起紧急提案投票,决定强制清算攻击者头寸。经过多方协作,最终成功将被盗资产返还至原用户地址。
慢雾旗下链上反洗钱工具 MistTrack 分析显示,攻击者关联地址曾通过 ChangeNOW 提币,且与其他多个兑换平台(如 1inch)、跨链桥(如 Across Protocol)以及受制裁交易所(如 eXch)存在频繁交互,涉嫌洗钱行为。
本次事件是一起典型的高级持续性威胁(APT)型网络钓鱼攻击,结合社会工程、浏览器扩展漏洞与协议设计弱点,展现出极强的隐蔽性与破坏力。尽管攻击者手法精密,但得益于 Venus 团队快速响应与链上治理机制的有效运作,最终避免了更大规模的资金损失。
该案例凸显了在 Web3 环境中,资产存储的安全性不仅依赖于钱包本身,更需关注设备安全、扩展权限管理及“所见即所签”机制的完善程度。未来,强化多因素验证、推广透明签名机制、提升用户安全意识,将成为防范类似事件的关键方向。
473
904
740
371
892
604
489
744
225
838
