loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸被转移,造成约1300万美元损失。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功识别该异常行为,并协助完成链上分析。此次事件暴露了Web3生态中资产存储与交易验证环节的关键风险。
攻击者以商务合作为诱饵,通过Telegram发送伪造的Zoom会议链接。受害者因时间冲突匆忙加入,未核对浏览器域名真实性,导致其设备被远程控制。由于相关聊天记录已被删除,完整攻击链路难以复现,但初步判断其使用的是知名官方扩展钱包。
攻击者在获得控制权后,通过两种可能方式修改浏览器扩展钱包代码:
以上方法为慢雾安全团队基于链上行为与威胁情报网络协作推断,不代表攻击者实际所用手段。
受害者本欲执行redeemUnderlying函数赎回USDT,但因扩展钱包被篡改,实际提交的为updateDelegate操作。由于其使用的硬件钱包不支持“所见即所签”验证机制,且开启盲签功能,导致用户在不知情情况下签署委托指令,使头寸被转移至攻击者地址。
攻击者于9月1日提前部署资金,持有约21.18个BTCB与205,000个XRP,为接管头寸做好准备。经过约10小时等待,当受害者发起赎回操作时,攻击者立即触发交易替换。
攻击者通过Lista闪电贷借入约285个BTCB,结合自有资产归还受害用户的贷款(约306.89 BTCB与152,673.96 XRP),随后将受害用户的抵押品(USDT/USDC/WBETH/FDUSD/ETH)全部赎回至自身控制地址。
为避免滑点,攻击者未直接兑换抵押品,而是将其重新存入Venus协议并借出BTCB用于偿还闪电贷。此举虽降低效率,但确保了资金链闭环。
在攻击者完成头寸接管后,Venus团队迅速反应,第一时间暂停协议运行,并紧急冻结所有市场的EXIT_MARKET操作,阻断进一步获利行为。
Venus团队发布紧急提案投票,经社区共识后启动强制清算流程。最终通过清算攻击者头寸,成功为原用户追回全部被盗资金,展现了高度成熟的链上治理与危机应对能力。
慢雾链上反洗钱工具MistTrack分析显示,攻击相关地址曾从ChangeNOW提币。此外,多笔资金交互涉及1inch、Across Protocol等跨链平台,以及受制裁交易所eXch,提示存在洗钱风险。
本次事件是一起典型的高级持续性社会工程攻击案例。攻击者利用用户心理压力与技术漏洞结合,实现对资产存储与交易签名环节的精准劫持。尽管手法精密,但得益于Venus团队快速响应与链上治理机制的有效运作,最终实现资金追回。
该事件再次凸显在当前加密资产生态中,资产存储安全、交易验证机制完善性及协议应急响应能力的重要性。对于普通用户而言,应警惕非官方渠道的会议邀请,禁用开发者模式下的非必要扩展,并优先选择支持“所见即所签”的硬件钱包,防范潜在风险。
473
904
740
371
892
604
489
744
225
838
