loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸被转移,造成约1300万美元损失。慢雾(SlowMist)自主研发的Web3威胁情报工具MistEye成功识别该异常行为,并协助开展链上分析。此次事件成为近期DeFi生态中典型的高危安全案例。
(https://x.com/SlowMist_Team/status/1962854755585429877)
攻击者以商务合作为诱饵,诱导目标用户加入伪造的Zoom在线会议。由于受害者匆忙参会,未核对浏览器域名真实性,导致其设备被恶意控制。攻击者随后通过修改本地浏览器扩展的钱包代码,篡改交易数据,使原本应为资产赎回的操作被替换为头寸委托操作。
值得注意的是,尽管用户使用的是硬件钱包,但因缺乏“所见即所签”验证机制且开启盲签功能,未能察觉交易内容已被篡改,最终签署并提交了错误交易。
攻击者在9月1日已提前部署资金,通过自有账户筹集约21.18个BTCB与205,000个XRP,为后续接管头寸做准备。
经过约10小时等待,攻击者在用户执行赎回操作时发动攻击。此时,用户的硬件钱包发起的redeemUnderlying函数被恶意替换为updateDelegate函数,签名后提交至链上,导致头寸被委托给攻击者。
攻击者随即启动闪电贷策略,从Lista借入约285个BTCB,并动用自有资产为受害用户偿还债务,完成抵押品置换。
在还款完成后,攻击者立即将受害用户在Venus中的所有抵押品(USDT/USDC/WBETH/FDUSD/ETH)赎回至自身地址,完成资产转移。
攻击者本可通过将抵押品兑换为BTCB归还闪电贷获利,但因滑点风险较高,选择重新存入Venus并借出BTCB完成闭环。
然而,在攻击者持有头寸尚未进一步操作时,Venus团队迅速反应,立即暂停协议,并关闭所有EXIT_MARKET功能,阻断进一步操作。
随后,团队发布紧急提案投票,推动强制清算攻击者头寸,最终成功为用户追回全部被盗资金。
慢雾链上反洗钱工具MistTrack显示,攻击相关地址曾通过ChangeNOW提币。
其他关联地址与1inch、Across Protocol及受制裁交易所eXch存在频繁交互,显示出明显的资金混洗行为。
本次事件是一次高度精密的社会工程学攻击,结合了浏览器扩展篡改、闪电贷套利与链上操纵等多重技术手段。攻击者利用开发者模式绕过Chrome完整性校验,实现扩展代码修改而保持官方ID一致,属于典型的技术漏洞滥用。
幸运的是,Venus团队展现出极强的应急响应能力,通过快速暂停协议、强制清算等措施,有效遏制了损失扩大。这一案例再次凸显了在去中心化金融环境中,资产存储安全与协议治理机制的重要性。
对于用户而言,应避免在非可信环境下使用硬件钱包进行盲签操作,同时警惕任何未经核实的远程会议链接,提升对新型钓鱼攻击的防范意识。
740
489
744
225
464
146
633
360
837
195
