Venus Protocol 疑遭 370 万美元攻击，供应上限遭操纵

去中心化借贷平台 Venus Protocol 正在调查一起疑似漏洞攻击事件,该事件可能已从其 BNB Chain 上的核心池中抽走超过 370 万美元的数字资产。

该事件在链上数据标记出与钱包地址 0x1a35…6231 相关的异常借贷活动后曝光。该地址在利用大量 THE 代币作为抵押品后,成功提取了包括约 20 BTC、150 万 CAKE 和约 200 BNB 在内的多种资产组合。

根据初步分析,攻击者使用抵押品从协议中借入多种资产,包括 CAKE、BTCB 和 BNB。在清算事件开始之前,借入资产的总价值已超过 370 万美元。

截至撰写本文时,数千万用作抵押品的 THE 代币正在被清算,这表明协议的风险机制已经启动。

Venus 团队承认了这一情况,并确认在调查持续进行期间已经采取了多项预防措施。

攻击目标为供应上限控制

该漏洞似乎围绕着 Venus 核心池内 THE 代币市场的供应上限操纵展开。

供应上限旨在限制特定资产在借贷市场中的使用量。它们作为一种保障措施,防止对单一代币的过度暴露。

然而,在这种情况下,攻击者设法绕过了这一限制。

作为预防措施,Venus 已暂停 THE 的借贷和提款。该团队还停止了几个流动性集中可能带来额外风险的市场活动。

暂停的市场包括:

•  BCH
•  LTC
•  UNI
•  AAVE
•  FIL
•  TWT

尽管出现干扰,Venus 澄清协议上的大多数其他市场仍保持完全运作。

追踪该事件的安全研究人员认为,这次漏洞攻击并非自发发生。相反,它似乎是在几个月内经过多个阶段的计划和执行。

数月的悄然积累

该漏洞攻击中更引人注目的细节之一是准备阶段似乎持续了多长时间。

链上数据显示,攻击者早在 2025 年 6 月就开始积累 THE 代币。

该钱包没有一次性大量购买,而是在九个月的时间里逐步建立其持仓。到攻击展开时,该地址已积累了 Venus 上代币供应上限的约 84%,即 1,450 万 THE。

在漏洞攻击当天的 11:00 UTC,该钱包已向协议提供了 1,220 万 THE,舒适地处于允许限额内。

当时该持仓没有任何异常之处,这可能解释了为什么该活动直到后来才被注意到。

真正的突破来自攻击者找到了一种方法,将该持仓扩大到远超上限。

绕过供应上限

攻击者没有使用标准存款流程,而是直接将代币转移到 Venus 协议合约。

通过这样做,他们成功绕过了通常执行供应上限的系统。

这使得钱包能够在非常短的时间内大幅增加其抵押品持仓。

时间线显示了事态升级的速度:

•  11:00 UTC:提供 1,220 万 THE(在上限内)
•  12:00 UTC:提供 4,950 万 THE(超过上限 3 倍)
•  12:42 UTC:提供 5,320 万 THE

到 12:42 UTC,攻击者已建立了总计 5,320 万 THE 代币的庞大抵押品持仓,约为协议预期上限的 3.67 倍。

有了如此庞大的抵押品基础,攻击者可以开始从平台借入资产。

递归借贷推高 THE 价格

在建立了超大规模的抵押品持仓后,攻击者进入下一阶段,通过递归借贷循环操纵代币价格。

该策略遵循重复循环:

存入 THE → 借入资产 → 购买更多 THE → 等待预言机更新 → 增加抵押品价值 → 重复

由于 THE 的链上流动性相对较低,即使是适度的购买也对其价格产生了明显影响。

随着循环的继续,代币的预言机价格急剧上涨。数据显示,在攻击期间价格从约 0.27 美元上涨至近 0.53 美元。

这种人为的价格上涨提升了攻击者抵押品的价值,这反过来使他们能够从协议借入更大金额。

然而,一旦操纵结束并开始清算,价格迅速反转,跌至约 0.24 美元。

借入资产达到数百万

在漏洞攻击的高峰期,记录于区块 86738236 约 12:42 UTC,攻击者的持仓大幅增长。

该钱包已提供 5,320 万 THE 代币作为抵押品。

针对该抵押品,攻击者从 Venus 借入了多种资产,包括:

•  667 万 CAKE
•  2,801 BNB
•  1,970 WBNB
•  158 万 USDC
•  20 BTCB

调查人员还确定了第二个相关地址(0x737b),该地址在此次行动中发挥了作用。

该钱包早前存入了 158 万 USDC 作为抵押品,并在 11:55 UTC 发起主要攻击的同一笔交易中借入了 463 万 THE 代币。

此次级持仓的清算在不久后开始,大约从 12:04 UTC 开始。

Venus 在调查继续期间做出回应

在发现漏洞后,Venus 团队迅速采取行动以限制潜在损害。

该协议暂停了 THE 市场以及其他几个风险市场,同时确认平台的大部分仍未受影响。

开发人员表示,他们现在正与安全合作伙伴和研究人员密切合作,以充分了解发生的情况。

该团队还承诺在调查完成后发布详细的事后分析报告。

根据协议,即将发布的报告可能包括技术修复和安全改进,特别是围绕预言机机制和供应上限执行方面。

虽然此类事件在去中心化金融中并不新鲜,但它们凸显了协议在试图平衡开放访问与强大风险控制时面临的挑战。

目前,重点仍然是稳定受影响的市场并防止未来出现类似的漏洞攻击。

免责声明:这不是交易或投资建议。在购买任何加密货币或投资任何服务之前,请务必自行研究。

在 Twitter 上关注我们 @nulltxnews 以获取最新的加密货币、NFT、人工智能、网络安全、分布式计算和 元宇宙新闻!