loading...
2025年9月2日,社区用户 @KuanSun1990 在 Venus 协议上的多个头寸被恶意转移,造成约1300万美元损失。慢雾(SlowMist)自主研发的 Web3 威胁情报与动态安全监控工具 MistEye 成功识别该异常行为,并协助开展链上分析。此次事件凸显了当前 DeFi 环境中用户资产安全面临的严峻挑战。
攻击者以商务合作为名,诱导目标用户加入伪造的 Zoom 在线会议。由于受害者未核对浏览器域名真实性,在紧迫氛围下点击恶意链接,导致其设备被远程控制。攻击者随后通过修改浏览器扩展钱包代码,实现对用户交易数据的劫持。
值得注意的是,受害者使用的是知名官方扩展钱包,且硬件钱包支持盲签功能。由于缺乏“所见即所签”机制,用户在不知情情况下签署了被篡改的 updateDelegate 操作,原计划赎回的 USDT 被替换为头寸委托,最终资产被转移至攻击者地址。
尽管 Chrome 浏览器对官方扩展具有完整性校验机制,但攻击者可能利用以下两种方式绕过:
上述方法为慢雾团队基于威胁情报与技术逆向研究得出的推测,尚未确认是否为实际攻击手法。
攻击者于9月1日提前部署资金,累计持有约21.18个 BTCB与205,000个 XRP,为后续操作做好准备。经过约10小时等待,当受害者发起赎回操作时,攻击者立即启动攻击流程。
用户调用正确函数 redeemUnderlying,但因扩展钱包被篡改,实际提交的交易变为 updateDelegate。由于硬件钱包不显示详细交易内容,且开启盲签,用户无从察觉,签名后交易被提交。
攻击者随即通过 Lista 闪电贷借入约285个 BTCB,结合自有资产,为受害用户偿还贷款共计约306.89个 BTCB与152,673.96个 XRP。此举使受害用户头寸恢复健康状态,便于后续提取抵押品。
在完成还款后,攻击者立即将用户在 Venus 上的全部抵押品(包括 USDT、USDC、WBETH、FDUSD、ETH)赎回至其控制地址。
攻击者本可进一步将抵押品兑换为 BTCB 归还闪电贷并获利。然而,就在其完成头寸接管后,Venus 团队迅速采取行动,暂停协议并禁止所有 EXIT_MARKET 操作。
随后,团队发起紧急提案投票,决定强制清算攻击者头寸。经链上操作确认,系统成功冻结并清算了攻击者持有的资产,最终为受害用户追回全部被盗资金。
根据慢雾链上反洗钱追踪工具 MistTrack 分析,攻击相关地址曾通过 ChangeNOW 提币。此外,这些地址还与多个兑换平台(如 1inch)、跨链桥(如 Across Protocol)以及受制裁交易所(如 eXch)存在频繁交互,显示出明显的洗钱意图。
本次事件是一起典型的高阶社会工程学攻击案例,攻击者融合了钓鱼、设备控制、扩展代码篡改、闪电贷套利等多种技术手段,展现了极强的组织性和隐蔽性。尽管攻击过程精密,但 Venus 团队展现出卓越的应急响应能力,及时暂停协议并实施强制清算,有效防止了更大范围的资金损失。
对于普通用户而言,应警惕任何未经核实的会议链接,避免在非官方环境下载或启用浏览器扩展。同时,建议优先选择支持“所见即所签”的硬件钱包,并关闭盲签功能,以提升资产安全性。
在市场趋势方面,此类事件再次引发对 Layer2 安全性的关注,也推动行业加强 Web3 安全基础设施建设。未来,随着更多机构参与加密生态,资产存储与交易验证机制的完善将成为保障市场稳定的关键因素。
473
904
740
371
892
604
489
744
225
838
