loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸被转移,造成约1300万美元损失。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功捕获该异常行为,并协助开展链上分析。以下为详细复盘。
受害者误入攻击者伪造的Zoom在线会议链接,在虚假网站诱导下于本地设备运行恶意代码,导致系统被远程控制。由于相关日志已被清除,还原过程面临挑战。据回忆,其使用的是知名官方扩展钱包,怀疑攻击者篡改了浏览器中扩展钱包的代码。最终,原本应发起的USDT赎回操作被替换为头寸委托操作,致使资产被攻击者接管。
攻击者以商务合作为名,通过Telegram发送伪装的Zoom会议链接。受害者因时间冲突匆忙参会,未核对浏览器域名是否为官方地址。在会议中,攻击者持续施压,制造紧迫感,使受害者忽略页面提示中的潜在风险。
最终,受害者电脑被完全控制。攻击者通过修改浏览器扩展钱包代码,劫持交易数据。由于受害者使用的硬件钱包缺乏“所见即所签”验证机制,且开启盲签功能,未能察觉交易内容已被篡改,从而签署了恶意委托指令。
尽管Chrome扩展具备完整性校验机制,但攻击者可能采用以下两种方式绕过:
以上为慢雾团队基于威胁情报与技术推演得出的假设,尚未有直接证据确认攻击者实际使用该手法。
攻击者于9月1日提前筹集约21.18个BTCB与205,000个XRP,为接管目标头寸做准备。经过约10小时等待,当受害者正常连接硬件钱包并访问Venus官网时,攻击正式开始。
受害者本意是调用redeemUnderlying函数赎回USDT,但因扩展钱包被篡改,实际提交的是updateDelegate操作。由于硬件钱包无详细签名预览能力,且启用盲签,用户在不知情情况下完成签名。
攻击者立即启动闪电贷,从Lista借入约285个BTCB,结合自有资产,为受害用户偿还贷款共计约306.89个BTCB与152,673.96个XRP。此举使受害用户头寸恢复健康状态,攻击者借此获得合法支配权。
随后,攻击者将受害用户的抵押品(USDT/USDC/WBETH/FDUSD/ETH)全部赎回至其控制地址。
为归还闪电贷,攻击者未直接兑换抵押品,而是将其重新存入Venus协议并借出BTCB,避免滑点损失。完成还款后,攻击者已实际控制受害用户头寸。
在攻击者持有头寸但尚未进一步操作时,Venus团队迅速反应,立即暂停协议,并限制所有EXIT_MARKET操作,阻断后续获利路径。
随后,团队发起紧急提案投票,决定强制清算攻击者头寸。通过多方协作与链上策略执行,最终成功追回被盗资金。
链上反洗钱工具MistTrack分析显示,攻击者关联地址曾从ChangeNOW提币。其他相关地址与1inch、Across Protocol等平台存在交互,部分涉及受制裁交易所(如eXch),存在洗钱嫌疑。
此次事件是一起高度组织化的社会工程学攻击,攻击者利用用户心理弱点与浏览器扩展机制缺陷,精准实施钓鱼与交易劫持。幸运的是,Venus团队展现出卓越的应急响应能力,通过快速暂停协议、强制清算等措施,有效遏制损失扩大。此案例再次凸显在Web3生态中,“所见即所签”机制的重要性,以及协议方在安全事件中承担的关键责任。
530
727
891
390
836
877
595
913
