loading...
2025年9月2日,社区用户 @KuanSun1990 在 Venus 协议上的多个头寸被恶意转移,损失约1300万美元。慢雾(SlowMist)自主研发的 Web3 威胁情报与动态安全监控工具 MistEye 成功捕获该异常行为,并协助完成链上分析。此次事件凸显了社会工程学攻击在去中心化金融环境中的高危性。
攻击者以商务合作为名,诱导目标用户加入伪装成 Zoom 的在线会议链接。受害者因时间冲突匆忙参会,未核对浏览器域名真实性,且在高压催促下未能识别网站升级提示的潜在风险。其电脑随后被远程控制,核心问题在于浏览器扩展钱包代码被篡改。
尽管 Chrome 商店扩展具备完整性校验机制,但攻击者可能通过开启开发者模式,复制官方扩展文件并修改 manifest.json 内容,使新扩展保留相同 ID 且可绕过校验。此外,也可能通过 Patch Chrome 安全函数全局关闭验证,实现代码注入。
攻击者于9月1日提前部署资金,筹集约21.18个 BTCB与205,000个 XRP,为接管头寸做准备。当受害者使用硬件钱包发起 redeemUnderlying 操作时,因扩展钱包被篡改,实际提交的却是 updateDelegate 交易。
由于硬件钱包未启用“所见即所签”机制,且开启盲签功能,用户在不知情情况下签署了委托指令。交易完成后,攻击者立即启动闪电贷策略,从 Lista 借入285个 BTCB,结合自有资产归还受害用户的贷款。
攻击者完成抵押品赎回后,试图通过重新质押并借出 BTCB 归还闪电贷以获利。然而,Venus 团队在发现异常后迅速采取行动,暂停协议所有 EXIT_MARKET 操作,并紧急发起提案投票。
最终,通过强制清算攻击者头寸,成功将被盗资金返还至原用户账户。这一系列操作展现了去中心化协议在面对重大安全事件时的应急能力与治理韧性。
慢雾链上反洗钱工具 MistTrack 显示,攻击相关地址曾通过 ChangeNOW 提币,并与多个兑换平台(如1inch)、跨链桥(Across Protocol)及受制裁交易所(eXch)存在交互。这表明攻击者尝试进行混币与资金流转,但已被实时监控覆盖。
本次事件是一起典型的高级持续性社会工程攻击案例,攻击者结合钓鱼、代码篡改与闪电贷套利,形成闭环攻击链。虽然技术手段复杂,但关键漏洞仍在于用户设备安全与钱包验证机制缺失。
对于普通用户而言,应避免在非官方渠道点击会议链接,禁用浏览器扩展的开发者模式,优先使用支持“所见即所签”的硬件钱包,并关闭盲签功能。同时,本事件也反映出协议方在应对安全危机时的快速响应能力对市场信心的重要性。
473
904
740
371
892
604
489
744
225
838
