Venus协议1300万美元被盗事件深度解析：钓鱼攻击与链上应急响应

事件背景

2025年9月2日，社区用户@KuanSun1990在Venus协议上的多个头寸被转移，造成约1300万美元损失。慢雾（SlowMist）自主研发的Web3威胁情报与动态安全监控工具MistEye成功识别该异常行为，并协助完成链上分析。此次事件暴露了Web3生态中资产存储与交易验证环节的关键风险。

攻击路径与技术细节

攻击者以商务合作为诱饵，通过Telegram发送伪造的Zoom会议链接。受害者因时间冲突匆忙加入，未核对浏览器域名真实性，导致其设备被远程控制。由于相关聊天记录已被删除，完整攻击链路难以复现，但初步判断其使用的是知名官方扩展钱包。

恶意代码注入机制分析

攻击者在获得控制权后，通过两种可能方式修改浏览器扩展钱包代码：

• 在Chrome开发者模式下，复制官方扩展文件并导入，生成同ID但可任意修改的扩展版本。该操作依赖manifest.json中的key保持一致，从而绕过完整性校验。
• 通过Patch Chrome扩展内容验证函数，全局关闭代码完整性检查。在macOS系统中需重新签名以确保程序可用。

以上方法为慢雾安全团队基于链上行为与威胁情报网络协作推断，不代表攻击者实际所用手段。

交易劫持与签名漏洞

受害者本欲执行redeemUnderlying函数赎回USDT，但因扩展钱包被篡改，实际提交的为updateDelegate操作。由于其使用的硬件钱包不支持“所见即所签”验证机制，且开启盲签功能，导致用户在不知情情况下签署委托指令，使头寸被转移至攻击者地址。

攻击实施与资金流转

攻击者于9月1日提前部署资金，持有约21.18个BTCB与205,000个XRP，为接管头寸做好准备。经过约10小时等待，当受害者发起赎回操作时，攻击者立即触发交易替换。

闪电贷套利与资产转移

攻击者通过Lista闪电贷借入约285个BTCB，结合自有资产归还受害用户的贷款（约306.89 BTCB与152,673.96 XRP），随后将受害用户的抵押品（USDT/USDC/WBETH/FDUSD/ETH）全部赎回至自身控制地址。

归还闪电贷与利润锁定

为避免滑点，攻击者未直接兑换抵押品，而是将其重新存入Venus协议并借出BTCB用于偿还闪电贷。此举虽降低效率，但确保了资金链闭环。

协议应急响应与资金追回

在攻击者完成头寸接管后，Venus团队迅速反应，第一时间暂停协议运行，并紧急冻结所有市场的EXIT_MARKET操作，阻断进一步获利行为。

强制清算与追偿机制

Venus团队发布紧急提案投票，经社区共识后启动强制清算流程。最终通过清算攻击者头寸，成功为原用户追回全部被盗资金，展现了高度成熟的链上治理与危机应对能力。

链上反洗钱追踪与资金去向

慢雾链上反洗钱工具MistTrack分析显示，攻击相关地址曾从ChangeNOW提币。此外，多笔资金交互涉及1inch、Across Protocol等跨链平台，以及受制裁交易所eXch，提示存在洗钱风险。

总结与启示

本次事件是一起典型的高级持续性社会工程攻击案例。攻击者利用用户心理压力与技术漏洞结合，实现对资产存储与交易签名环节的精准劫持。尽管手法精密，但得益于Venus团队快速响应与链上治理机制的有效运作，最终实现资金追回。

该事件再次凸显在当前加密资产生态中，资产存储安全、交易验证机制完善性及协议应急响应能力的重要性。对于普通用户而言，应警惕非官方渠道的会议邀请，禁用开发者模式下的非必要扩展，并优先选择支持“所见即所签”的硬件钱包，防范潜在风险。