loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸被转移,造成约1300万美元损失。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功捕获该异常行为,并协助开展深入分析。此次事件成为近期最典型的高价值资产盗取案例之一。
(https://x.com/SlowMist_Team/status/1962854755585429877)
受害者误入攻击者伪造的Zoom在线会议链接,在虚假网站引导下运行恶意代码,导致其设备被远程控制。由于相关记录已被清除,还原过程面临挑战。根据回忆,用户使用的是知名官方扩展钱包,但怀疑攻击者篡改了电脑中该扩展的钱包代码。最终,原本应由硬件钱包发起的资产赎回操作被篡改为头寸委托操作,致使头寸被攻击者接管。
攻击者以商务合作为名,通过Telegram发送伪装成正式会议的链接,诱导目标参与。受害者因时间冲突匆忙进入会议,未核对浏览器域名是否为Zoom官方地址。攻击者在会议中持续施压,制造紧迫感,使用户忽略页面提示中的异常升级提醒。
最终,受害者的电脑被完全控制。关于具体入侵方式,可参考Web3钓鱼演练平台Unphishable (https://unphishable.io/) #NO.0x0036关卡中的模拟训练。
攻击者获得控制权后,通过修改浏览器扩展钱包代码,劫持并替换原始交易数据。由于用户使用的硬件钱包缺乏“所见即所签”验证机制,且开启盲签功能,导致用户在不知情的情况下签署了被篡改的updateDelegate交易。
那么攻击者如何实现代码篡改而规避Chrome完整性检查?
Chrome对官方扩展有严格校验机制:若代码被修改,系统会提示扩展损坏且无法启用,且该检查不可关闭。
因此,我们一度推测攻击者并未直接篡改官方扩展。然而,通过与威胁情报网络协作,确认攻击所用扩展ID与官方一致。研究发现两种可能路径:
在开发者模式下,复制官方原版扩展文件并导入浏览器,可生成一个拥有相同ID但可自由修改代码的新扩展。关键在于manifest.json中的key保持不变,从而维持扩展ID一致性。
通过修改Chrome内部函数,全局禁用扩展内容完整性检查。在macOS系统中,还需重新签名方可运行。
以上为慢雾安全团队基于现有证据的推演结论,不代表攻击者实际采用该手法。
攻击前,攻击者于9月1日筹集约21.18个BTCB与205,000个XRP,为接管头寸做准备。
经过约10小时等待,攻击者在用户操作钱包时发动攻击。此时用户通过硬件钱包连接浏览器扩展,访问正确Venus官网,准备执行redeemUnderlying函数。
但由于扩展代码已被篡改,交易被替换为updateDelegate操作。用户硬件钱包无详细签名预览能力,又开启盲签,导致其签署后提交的交易实为头寸委托,最终头寸归属攻击者。
(https://bscscan.com/tx/0x75eee705a234bf047050140197aeb9616418435688cfed4d072be75fcb9be0e2)
完成委托后,攻击者立即行动:通过Lista闪电贷借入约285个BTCB,结合自有21.18个BTCB和205,000个XRP,为用户归还贷款306.89个BTCB与152,673.96个XRP。
还款完成后,攻击者立即将用户抵押品(USDT/USDC/WBETH/FDUSD/ETH)赎回至其控制地址。
为归还闪电贷,攻击者选择将抵押品重新存入Venus并借出BTCB,避免在DEX直接兑换造成的滑点损失。
在完成所有操作后,攻击者已实际控制头寸。但此时Venus团队迅速响应,立即暂停协议,并暂停所有EXIT_MARKET操作,阻断进一步获利。
(https://bscscan.com/tx/0xe4a66f370ef2bc098d5f6bf2a532179eea400e00e4be8ea5654fa9e8aeee65bf#eventlog)
Venus团队随后发起紧急提案投票,旨在恢复协议安全的同时,最大限度追回被盗资金。
最终,团队通过强制清算攻击者头寸,成功为用户追回全部被盗资产。
链上反洗钱工具MistTrack分析显示,攻击相关地址曾从ChangeNOW提币。
其他关联地址与多个兑换平台(如1inch)、跨链桥(如Across Protocol)以及受制裁交易所(如eXch)存在交互记录。
本次事件是一场高度策划的网络钓鱼攻击。攻击者通过伪造Zoom会议链接控制用户设备,利用Chrome开发者模式特性篡改钱包扩展代码,将资产赎回操作替换为头寸委托,手法极为精密。幸运的是,Venus团队展现出卓越应急响应能力,通过快速暂停协议、启动紧急治理流程并强制清算,成功追回全部资金。此案例再次凸显Web3生态中社会工程学攻击与客户端安全机制缺失的重大风险,也验证了去中心化协议在危机中具备自我修复潜力。
203
727
285
390
324
877
