去中心化借贷平台Venus Protocol周日宣布,在核心池检测到针对Thena(THE)代币资金池的异常交易活动。根据Venus的风险管理合作伙伴Allez Labs的最新调查,此次事件为精心策划的供应上限操纵攻击,从谋划到执行历时约9个月,最终损失超过370万美元。
攻击全流程解析:四阶段精心谋划
Allez Labs的调查揭示了此次攻击的完整运作逻辑,分为四个关键阶段:
第一阶段:长达9个月的代币缓慢积累
自2025年6月起,攻击者缓慢积累THE代币,最终持有量达到供应上限的84%,约1450万枚。这一缓慢策略避免了触发平台风险警报。
第二阶段:直接转账绕过供应上限
攻击者并未通过正常存款流程,而是直接将代币转入协议合约,完全规避了供应上限机制,最终建立起5320万枚THE的头寸,相当于供应上限的3.67倍。
第三阶段:操纵TWAP预言机
利用THE代币链上流动性极低的结构性弱点,攻击者通过递归操作操纵TWAP(时间加权平均价格)预言机,将THE的价格从约0.27美元推高至约0.53美元。
第四阶段:以虚高抵押品大规模借出资产
在人为拉高的抵押品估值下,攻击者以5320万枚THE为抵押借出了多种高流动性资产。
遭窃资产明细与平台紧急应对措施
攻击者在高峰时期借出的资产:
- 667万枚CAKE(PancakeSwap原生代币)
- 2801枚BNB(BNB链原生代币)
- 1970枚WBNB
- 158万枚USDC
- 20枚BTCB(代币化比特币)
Venus Protocol立即暂停了所有THE代币的借贷和提现业务,同时出于预防目的暂停了链上流动性高度集中的市场(包括BCH、LTC、UNI、AAVE、FIL及TWT)的借贷和提现功能,其他市场未受影响,维持正常运作。
安全隐患的深层启示:低流动性代币的系统性脆弱性
此次Venus Protocol的攻击揭示了DeFi借贷协议的多个系统性风险:低流动性代币的TWAP预言机极易通过小规模操作影响价格读数;供应上限机制若未防范直接合约转账,存在可被绕过的技术漏洞;而长达9个月的缓慢积累策略,也暴露了协议在长期持仓行为监控方面的潜在盲点。
常见问题
Venus Protocol的“供应上限攻击”是什么?
供应上限是协议设计用来限制单一资产可作为抵押品的最大持仓量的安全机制。此次攻击者通过直接向合约转账的方式绕过了这一机制,使持仓量达到供应上限的3.67倍,再通过操纵预言机放大抵押品估值,借出超出应获授信额度的资产。
此次攻击为何能谋划如此长时间而未被察觉?
攻击者采用长达9个月的“低慢(Low and Slow)”积累策略,将持仓量控制在不触发警报的水平,直到累积到供应上限的84%才执行攻击。这种方式是绕过基于阈值监控机制的常见手法,显示协议需要更细致的长期行为监控能力。
Venus Protocol采取了哪些紧急应对措施?
Venus Protocol立即暂停了THE代币的全部借贷和提现功能,同时预防性暂停了BCH、LTC、UNI、AAVE、FIL和TWT等流动性高度集中的市场的相关功能,其他市场正常运作。Allez Labs与安全合作伙伴持续调查并更新进展。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
加密黑客推动华尔街代币化辩论
高调的加密货币漏洞利用测试了 DeFi 的风险,但不太可能扰乱代币化;机构更偏好许可链,而更广泛的代币化必须与 DeFi 互操作;稳定币面临审查,并可能引发监管反弹。
Crypto Frontier1小时前
Volo Protocol 在 Sui 黑客事件中损失 350 万美元,承诺吸收损失并冻结黑客资金
Gate News 消息,4月22日——Volo Protocol 是 Sui 上的收益金库运营方,昨日 (4月21日) 宣布,在一次 350 万美元的漏洞利用之后,它已经开始冻结被盗资产。黑客从 Volo Vaults 窃取了 WBTC、XAUm 和 USDG,标志着该领域在一个历史上异常严峻的月份里发生的最新一次重大的 DeFi 安全事故。
GateNews5小时前
法国家庭遭持械入侵后被迫在加密货币转账 $820K
Gate News 消息,4 月 22 日——根据 The Block 的报道,法国布列塔尼地区一个小镇普洛达尔梅泽奥(Ploudalmézeau)的一个家庭在周一 (4 月 20 日)遭到两名持械蒙面男子入侵。三名成年人被捆绑超过三个小时,并被迫将约 700,000 欧元 (约 820,000 美元) i
GateNews6小时前
DOJ 启动 OneCoin 诈骗受害者赔偿流程,已追回资产达 4000 万美元以上可供分配
Gate 新闻消息,4月22日——美国司法部已宣布启动针对 OneCoin 加密货币诈骗案受害者的赔偿流程,现已有超过 $40 百万美元的已追回资产可供分配。
该案由 Ruja 在 2014 年至 2019 年期间运营,
GateNews7小时前
因涉及 26 亿美元欺诈指控而遭起诉:AI16Z、ELIZAOS 创作者;从峰值暴跌 99.9% 的代币崩盘
联邦集体诉讼指控 AI16Z/ELIZAOS 通过虚假的 AI 说法和误导性营销实施价值 26 亿美元的加密诈骗;指称存在内线偏袒,并指控该自主系统系精心布置的;并寻求依据消费者保护法获得损害赔偿。
摘要:本报告介绍一份在 4 月 21 日提起的 SDNY(纽约南区联邦地区法院)联邦集体诉讼。原告指控 AI16Z 及其改名后的 ELIZAOS 发生 26 亿美元的加密诈骗,涉及虚假的 AI 说法与误导性营销。诉讼称该项目与 Andreessen Horowitz 存在“人为制造”的关联,且其并非真正的自主系统。报告还披露了 2025 年初的峰值估值、99.9% 的暴跌,以及约 4,000 个遭受损失的钱包;同时,内线人员获得了约 40% 的新增代币。原告寻求依据纽约与加利福尼亚消费者保护法获得损害赔偿及衡平救济。韩国监管机构以及多家主要交易所已对相关交易发出警告或暂停相关交易。
GateNews8小时前
SlowMist 警报:正在活跃的 MacSync Stealer macOS 恶意软件,针对加密用户
SlowMist 警告 MacSync Stealer (v1.1.2),这是一款针对 macOS 的恶意信息窃取程序,会窃取钱包、凭据、钥匙串以及基础设施密钥,并通过伪造的 AppleScript 提示和虚假的“不支持”错误来实施;敦促保持谨慎并提高对 IOCs 的意识。
摘要:本报告概述了 SlowMist 关于 MacSync Stealer (v1.1.2) 的告警。该恶意程序是一种 macOS 信息窃取程序,目标是加密货币钱包、浏览器凭据、系统钥匙串以及基础设施密钥 (SSH、AWS、Kubernetes)。它通过伪造的 AppleScript 对话框欺骗用户,诱导其输入密码,并显示可见的虚假“不支持”消息。SlowMist 向客户提供 IOCs,并建议避免执行未经验证的 macOS 脚本,同时对异常的密码提示保持警惕。
GateNews9小时前
