loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸被转移,损失约1300万美元。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功捕获该异常行为,并协助开展链上分析。以下为完整事件复盘。
受害者误入攻击者伪造的Zoom在线会议链接,在虚假网站引导下运行恶意代码,导致设备被远程控制。由于相关日志已被清除,分析难度较大。据回忆,其使用的是知名官方扩展钱包,怀疑攻击者篡改了电脑中扩展钱包的代码。最终,原本应由硬件钱包发起的Venus资产赎回操作被替换为头寸委托操作,致使头寸被攻击者接管。
攻击者以商务合作为名,通过Telegram发送伪装的Zoom会议链接。受害者因时间冲突匆忙加入,未核对浏览器域名是否为官方地址。在会议中,攻击者持续施压,诱导其在高压情境下忽略网站升级提示中的潜在风险。
最终,受害者的设备被攻陷。具体方式可参考Web3钓鱼演练平台Unphishable #NO.0x0036关卡提供的实战训练。
攻击者获取控制权后,修改了浏览器扩展钱包的代码,劫持并替换交易原始数据。由于受害者使用的硬件钱包缺乏“所见即所签”验证机制,且开启盲签功能,未能识别交易内容已被篡改,最终签署并提交了恶意交易。
Chrome浏览器对官方扩展有严格完整性校验机制,一旦代码被修改即提示损坏。因此我们曾怀疑攻击者未直接篡改官方扩展。
经深入研究并与威胁情报网络合作确认,攻击者所用扩展ID与官方一致。可能手段包括:
在开发者模式下,复制官方扩展文件并导入浏览器,只要manifest.json中的key保持一致,即可生成同ID但可自由修改代码的新扩展。
通过修改Chrome扩展内容验证函数,全局关闭完整性检查。在macOS系统中需重新签名方可运行。
以上为慢雾安全团队内部推演结果,不代表攻击者实际采用的技术路径。
攻击者于9月1日提前部署资金,筹集约21.18个BTCB与205,000个XRP,为接管目标头寸做准备。
经过约10小时等待,攻击者抓住受害者操作钱包的时机。当用户连接硬件钱包访问Venus官网并调用redeemUnderlying函数时,篡改后的扩展将操作替换为updateDelegate。
由于硬件钱包无详细签名预览且启用盲签,用户在不知情情况下签署了委托指令,头寸随即被转移至攻击者地址。
完成委托后,攻击者立即启动闪电贷攻击。通过Lista借入约285个BTCB,叠加自有21.18个BTCB与205,000个XRP,为受害者偿还贷款约306.89个BTCB与152,673.96个XRP。
在还款完成后,攻击者立即将受害者在Venus的抵押品(USDT/USDC/WBETH/FDUSD/ETH)赎回至自身控制地址。
为归还闪电贷,攻击者选择将这些资产重新存入Venus并借出BTCB,避免在DEX中直接兑换造成滑点。
就在攻击者完成所有操作、即将获利之际,Venus团队迅速反应,立即暂停协议,并冻结所有EXIT_MARKET操作,阻断进一步收益。
随后,Venus团队发起紧急提案投票,推动协议安全恢复与资金追回机制。
最终,通过强制清算攻击者头寸,成功为受害者追回全部被盗资金。
链上反洗钱工具MistTrack显示,攻击者关联地址曾从ChangeNOW提币。其他地址亦与1inch、Across Protocol及受制裁交易所eXch存在交互记录。
MgW比特币实时价格与加密货币新闻 - 比特之家 | 7x24小时行情与资讯
此次事件是一场高度精密的网络钓鱼攻击。攻击者利用社会工程学诱骗用户进入虚假会议,再通过开发者模式绕过Chrome扩展校验机制,篡改钱包交易逻辑,实现资产转移。尽管攻击流程复杂且隐蔽,但得益于Venus团队快速响应与链上应急机制,最终成功阻止损失扩大,并实现资金追回。该案例再次凸显了资产存储安全、签名验证机制与协议应急能力的重要性。
727
891
390
324
565
877
784
595
862
