loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸被恶意转移,造成约1300万美元损失。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功识别该异常行为,并协助开展链上分析。以下是完整事件复盘。
(https://x.com/SlowMist_Team/status/1962854755585429877)
受害者误入攻击者伪造的Zoom在线会议链接,在虚假网站诱导下运行恶意代码,导致设备被远程控制。由于相关操作记录已被清除,还原过程面临挑战。据其回忆,当时使用的是知名官方扩展钱包,怀疑攻击者篡改了电脑中该扩展的钱包代码。最终,原本应为资产赎回的操作被替换为头寸委托,致使账户被接管。
攻击者以商务合作为名,通过Telegram发送伪装成正式会议的链接,诱导目标加入。受害者因时间冲突匆忙接入,未核对浏览器域名是否为Zoom官方地址。在会议过程中,对方持续施压,使其在紧张状态下忽略页面提示中的异常行为。
攻击者随后获取设备控制权。关于具体入侵方式,可参考Web3钓鱼演练平台Unphishable #NO.0x0036关卡中的模拟训练。
攻击者通过修改浏览器扩展钱包的代码,劫持并篡改交易原始数据。由于受害者使用的硬件钱包缺乏“所见即所签”验证机制,且开启了盲签功能,未能察觉签名内容已被替换,从而签署了恶意交易。
为何能绕过Chrome扩展完整性校验?我们研究发现两种可能路径:
在开发者模式下,复制官方扩展文件并导入浏览器,可生成具有相同ID但可任意修改代码的新扩展。关键在于manifest.json中的key保持一致。
通过修补Chrome扩展内容验证函数,全局关闭完整性检查。在macOS系统中需重新签名方可运行。
上述方法为慢雾团队基于技术推演的内部研判,不代表攻击者实际采用手段。
攻击前,攻击者于9月1日筹集约21.18个BTCB与205,000个XRP,为后续操作做准备。
经过约10小时等待,攻击者捕捉到受害者操作时机。用户连接硬件钱包访问Venus官网,准备执行redeemUnderlying函数。
但因扩展钱包已被篡改,实际提交的是updateDelegate操作。受害者在无感知情况下签署该交易,导致头寸被委托至攻击者地址。
(https://bscscan.com/tx/0x75eee705a234bf047050140197aeb9616418435688cfed4d072be75fcb9be0e2)
完成委托后,攻击者立即启动闪电贷攻击。通过Lista借入约285个BTCB,叠加自有资产,为受害者归还306.89个BTCB与152,673.96个XRP贷款。
还款完成后,攻击者将受害用户的抵押品(USDT/USDC/WBETH/FDUSD/ETH)全部赎回至其控制地址。
为归还闪电贷,攻击者选择将抵押品重新存入Venus协议并借出BTCB,避免直接在DEX兑换造成的滑点损耗。
然而,在攻击者尚未获利之际,Venus团队迅速响应,紧急暂停协议,并封锁所有EXIT_MARKET操作。
(https://bscscan.com/tx/0xe4a66f370ef2bc098d5f6bf2a532179eea400e00e4be8ea5654fa9e8aeee65bf#eventlog)
团队随即发起紧急提案投票,旨在恢复协议安全并追回被盗资金。
最终,通过强制清算攻击者头寸,成功为受害者追回全部被盗资产。
链上反洗钱追踪工具MistTrack显示,相关地址曾从ChangeNOW提币。
其他关联地址与1inch、Across Protocol及受制裁交易所eXch存在频繁交互。
本次事件是一起高度复杂的网络钓鱼攻击案例。攻击者利用社会工程学诱导用户进入虚假会议,再借助Chrome开发者模式特性篡改钱包扩展代码,精准替换交易类型,实现资产转移。尽管手法精巧,但得益于Venus团队快速响应与应急处置,及时冻结协议并强制清算,有效避免了更大范围的损失。此事件再次凸显当前Web3生态中“资产存储”与“交易活动”的安全风险,也提醒用户警惕“所见即所签”机制缺失带来的潜在隐患。
473
904
740
371
892
604
489
744
225
838
