Venus协议1300万美元损失事件深度解析：钓鱼攻击与链上应急响应

2025-12-22 10:48 loading...

背景

2025年9月2日，社区用户@KuanSun1990在Venus协议上的多个头寸被转移，造成约1300万美元损失。慢雾（SlowMist）自主研发的Web3威胁情报与动态安全监控工具MistEye成功捕获该异常行为，并协助开展链上分析。以下为详细复盘。

根本原因

受害者误入攻击者伪造的Zoom在线会议链接，在虚假网站诱导下于本地设备运行恶意代码，导致系统被远程控制。由于相关日志已被清除，还原过程面临挑战。据回忆，其使用的是知名官方扩展钱包，怀疑攻击者篡改了浏览器中扩展钱包的代码。最终，原本应发起的USDT赎回操作被替换为头寸委托操作，致使资产被攻击者接管。

攻击路径详解

攻击者以商务合作为名，通过Telegram发送伪装的Zoom会议链接。受害者因时间冲突匆忙参会，未核对浏览器域名是否为官方地址。在会议中，攻击者持续施压，制造紧迫感，使受害者忽略页面提示中的潜在风险。

最终，受害者电脑被完全控制。攻击者通过修改浏览器扩展钱包代码，劫持交易数据。由于受害者使用的硬件钱包缺乏“所见即所签”验证机制，且开启盲签功能，未能察觉交易内容已被篡改，从而签署了恶意委托指令。

技术实现方式分析

尽管Chrome扩展具备完整性校验机制，但攻击者可能采用以下两种方式绕过：

在开发者模式下，复制官方扩展文件并导入浏览器，可生成同ID但可修改代码的新扩展。关键在于保持manifest.json中的key一致，从而规避系统检测。
通过修改Chrome扩展内容验证函数，全局关闭完整性检查。在macOS上需重新签名方可运行。

以上为慢雾团队基于威胁情报与技术推演得出的假设，尚未有直接证据确认攻击者实际使用该手法。

攻击前准备与执行时机

攻击者于9月1日提前筹集约21.18个BTCB与205,000个XRP，为接管目标头寸做准备。经过约10小时等待，当受害者正常连接硬件钱包并访问Venus官网时，攻击正式开始。

受害者本意是调用redeemUnderlying函数赎回USDT，但因扩展钱包被篡改，实际提交的是updateDelegate操作。由于硬件钱包无详细签名预览能力，且启用盲签，用户在不知情情况下完成签名。

慢雾：Venus 用户 1300 万美元被黑深度分析

闪电贷套利与资产转移

攻击者立即启动闪电贷，从Lista借入约285个BTCB，结合自有资产，为受害用户偿还贷款共计约306.89个BTCB与152,673.96个XRP。此举使受害用户头寸恢复健康状态，攻击者借此获得合法支配权。

随后，攻击者将受害用户的抵押品（USDT/USDC/WBETH/FDUSD/ETH）全部赎回至其控制地址。

归还闪电贷与最终接管

为归还闪电贷，攻击者未直接兑换抵押品，而是将其重新存入Venus协议并借出BTCB，避免滑点损失。完成还款后，攻击者已实际控制受害用户头寸。

协议应急响应与资金追回

在攻击者持有头寸但尚未进一步操作时，Venus团队迅速反应，立即暂停协议，并限制所有EXIT_MARKET操作，阻断后续获利路径。

随后，团队发起紧急提案投票，决定强制清算攻击者头寸。通过多方协作与链上策略执行，最终成功追回被盗资金。

链上反洗钱追踪结果

链上反洗钱工具MistTrack分析显示，攻击者关联地址曾从ChangeNOW提币。其他相关地址与1inch、Across Protocol等平台存在交互，部分涉及受制裁交易所（如eXch），存在洗钱嫌疑。

慢雾：Venus 用户 1300 万美元被黑深度分析

总结

此次事件是一起高度组织化的社会工程学攻击，攻击者利用用户心理弱点与浏览器扩展机制缺陷，精准实施钓鱼与交易劫持。幸运的是，Venus团队展现出卓越的应急响应能力，通过快速暂停协议、强制清算等措施，有效遏制损失扩大。此案例再次凸显在Web3生态中，“所见即所签”机制的重要性，以及协议方在安全事件中承担的关键责任。