loading...
2025年9月2日,社区用户 @KuanSun1990 在 Venus 协议上的多个头寸被转移,损失约1300万美元。慢雾(SlowMist)自主研发的 Web3 威胁情报与动态安全监控工具 MistEye 成功捕获该异常行为,并协助完成链上分析。以下是完整事件复盘。
(https://x.com/SlowMist_Team/status/1962854755585429877)
攻击者通过社会工程学手段,以商务合作为名诱导目标用户加入伪造的 Zoom 在线会议。受害者在未核实域名的情况下匆忙进入会议,且在高压催促下未能识别网站升级提示中的恶意行为,最终其电脑被远程控制。
由于用户使用的是知名官方扩展钱包,且设备记录已被删除,分析面临挑战。据回忆,攻击者可能通过修改浏览器扩展钱包代码,使原本应为赎回操作的交易被替换为头寸委托操作。
攻击者利用 Chrome 浏览器开发者模式特性,复制官方扩展文件并导入新实例,确保扩展 ID 与官方一致,从而绕过完整性校验。同时,通过 Patch Chrome 安全函数或重新签名程序,在 macOS 上实现全局关闭扩展内容验证。
尽管上述方法尚未确认为实际手法,但已被慢雾安全团队列为高可能性推断。
攻击者于9月1日提前筹集21.18个 BTCB与20.5万枚 XRP,为接管头寸做准备。经过约10小时等待,当用户使用硬件钱包发起赎回操作时,篡改后的扩展将 redeemUnderlying 函数替换为 updateDelegate 操作。
由于硬件钱包缺乏“所见即所签”验证机制且开启盲签功能,用户在无感知情况下签署了委托指令,导致头寸被转移。
(https://bscscan.com/tx/0x75eee705a234bf047050140197aeb9616418435688cfed4d072be75fcb9be0e2)
攻击者立即调用 Lista 闪电贷借入约285个 BTCB,结合自有资产归还受害用户的债务。随后,将其抵押品(USDT/USDC/WBETH/FDUSD/ETH)全部赎回至自身地址。
为规避滑点,攻击者未直接兑换,而是将资产重新存入 Venus 并借出 BTCB 用于归还闪电贷。
在攻击者完成头寸接管后,Venus 团队迅速暂停协议,并紧急冻结所有 EXIT_MARKET 操作,阻止进一步提款。
随后发起紧急提案投票,通过强制清算攻击者头寸,成功为用户追回全部被盗资金。
慢雾 MistTrack 工具显示,相关地址曾从 ChangeNOW 提币,并与多个兑换平台(如 1inch)、跨链协议(Across Protocol)及受制裁交易所(eXch)存在交互,表明攻击者试图进行混币与资产转移。
此次事件是一场高度定制化的网络钓鱼攻击,攻击者结合社会工程、浏览器扩展篡改与闪电贷套利,手法精密。幸运的是,Venus 团队展现出卓越的应急响应能力,通过快速暂停协议与强制清算,有效保护用户资产,避免了更大范围的市场冲击。
该案例再次凸显 Web3 资产安全中“人因风险”的核心地位,提醒用户警惕未知链接,启用“所见即所签”机制,并避免在非信任环境中使用硬件钱包盲签功能。
530
203
727
891
285
324
836
877
595
913
