Venus Protocol 遭供應上限攻擊,損失 370 萬美元
去中心化借貸平台 Venus Protocol 週日宣布,在核心池偵測到針對 Thena(THE)代幣資金池的異常交易活動。根據 Venus 的風險管理合作夥伴 Allez Labs 的最新調查,此次事件為精心策劃的供應上限操縱攻擊,從謀劃到執行歷時約 9 個月,最終損失超過 370 萬美元。
攻擊全流程解析:四階段精心謀劃
Allez Labs 的調查揭示了此次攻擊的完整運作邏輯,分為四個關鍵階段:
第一階段:長達 9 個月的代幣緩慢積累 自 2025 年 6 月起,攻擊者緩慢積累 THE 代幣,最終持有量達到供應上限的 84%,約 1,450 萬枚。這一緩慢策略避免了觸發平台風險警報。
第二階段:直接轉帳繞過供應上限 攻擊者並未透過正常存款流程,而是直接將代幣轉入協議合約,完全規避了供應上限機制,最終建立起 5,320 萬枚 THE 的頭寸,相當於供應上限的 3.67 倍。
第三階段:操縱 TWAP 預言機 利用 THE 代幣鏈上流動性極低的結構性弱點,攻擊者透過遞歸操作操縱 TWAP(時間加權平均價格)預言機,將 THE 的價格從約 0.27 美元推高至約 0.53 美元。
第四階段:以虛高抵押品大規模借出資產 在人為拉高的抵押品估值下,攻擊者以 5,320 萬枚 THE 為抵押借出了多種高流動性資產。
遭竊資產明細與平台緊急應對措施
攻擊者在高峰時期借出的資產:
· 6,670,000 枚 CAKE(PancakeSwap 原生代幣)
· 2,801 枚 BNB(BNB Chain 原生代幣)
· 1,970 枚 WBNB
· 1,580,000 枚 USDC
· 20 枚 BTCB(代幣化比特幣)
Venus Protocol 立即暫停了所有 THE 代幣的借貸和提現業務,同時出於預防目的暫停了鏈上流動性高度集中市場(包括 BCH、LTC、UNI、AAVE、FIL 及 TWT)的借貸和提現功能,其他 Venus 市場未受影響,維持正常運作。
安全隱患的深層啟示:低流動性代幣的系統性脆弱性
這次 Venus Protocol 的攻擊揭示了 DeFi 借貸協議的多個系統性風險:低流動性代幣的 TWAP 預言機極易透過小規模操作影響價格讀數;供應上限機制若未防範直接合約轉帳,存在可被繞過的技術漏洞;而長達 9 個月的緩慢積累策略,也暴露了協議在長期持倉行為監控方面的潛在盲點。
常見問題
Venus Protocol 的「供應上限攻擊」是什麼?
供應上限是協議設計用來限制單一資產可作為抵押品的最大持倉量的安全機制。此次攻擊者透過直接向合約轉帳的方式繞過了這一機制,使持倉量達到供應上限的 3.67 倍,再透過操縱預言機放大抵押品估值,借出超出應獲授信額度的資產。
此次攻擊為何能謀劃如此長時間而未被察覺?
攻擊者採用長達 9 個月的「低慢(Low and Slow)」積累策略,將持倉量控制在不觸發警報的水準,直到累積到供應上限的 84% 才執行攻擊。這種方式是繞過基於閾值監控機制的常見手法,顯示協議需要更精細的長期行為監控能力。
Venus Protocol 採取了哪些緊急應對措施?
Venus Protocol 立即暫停了 THE 代幣的全部借貸和提現功能,同時預防性暫停了 BCH、LTC、UNI、AAVE、FIL 和 TWT 等流動性高度集中市場的相關功能,其他市場正常運作。 Allez Labs 與安全合作夥伴持續調查並更新進展。
相關文章