去中心化借贷平台Venus Protocol周日宣布,在核心池检测到针对Thena(THE)代币资金池的异常交易活动。根据Venus的风险管理合作伙伴Allez Labs的最新调查,此次事件为精心策划的供应上限操纵攻击,从谋划到执行历时约9个月,最终损失超过370万美元。
攻击全流程解析:四阶段精心谋划
Allez Labs的调查揭示了此次攻击的完整运作逻辑,分为四个关键阶段:
第一阶段:长达9个月的代币缓慢积累
自2025年6月起,攻击者缓慢积累THE代币,最终持有量达到供应上限的84%,约1450万枚。这一缓慢策略避免了触发平台风险警报。
第二阶段:直接转账绕过供应上限
攻击者并未通过正常存款流程,而是直接将代币转入协议合约,完全规避了供应上限机制,最终建立起5320万枚THE的头寸,相当于供应上限的3.67倍。
第三阶段:操纵TWAP预言机
利用THE代币链上流动性极低的结构性弱点,攻击者通过递归操作操纵TWAP(时间加权平均价格)预言机,将THE的价格从约0.27美元推高至约0.53美元。
第四阶段:以虚高抵押品大规模借出资产
在人为拉高的抵押品估值下,攻击者以5320万枚THE为抵押借出了多种高流动性资产。
遭窃资产明细与平台紧急应对措施
攻击者在高峰时期借出的资产:
- 667万枚CAKE(PancakeSwap原生代币)
- 2801枚BNB(BNB链原生代币)
- 1970枚WBNB
- 158万枚USDC
- 20枚BTCB(代币化比特币)
Venus Protocol立即暂停了所有THE代币的借贷和提现业务,同时出于预防目的暂停了链上流动性高度集中的市场(包括BCH、LTC、UNI、AAVE、FIL及TWT)的借贷和提现功能,其他市场未受影响,维持正常运作。
安全隐患的深层启示:低流动性代币的系统性脆弱性
此次Venus Protocol的攻击揭示了DeFi借贷协议的多个系统性风险:低流动性代币的TWAP预言机极易通过小规模操作影响价格读数;供应上限机制若未防范直接合约转账,存在可被绕过的技术漏洞;而长达9个月的缓慢积累策略,也暴露了协议在长期持仓行为监控方面的潜在盲点。
常见问题
Venus Protocol的“供应上限攻击”是什么?
供应上限是协议设计用来限制单一资产可作为抵押品的最大持仓量的安全机制。此次攻击者通过直接向合约转账的方式绕过了这一机制,使持仓量达到供应上限的3.67倍,再通过操纵预言机放大抵押品估值,借出超出应获授信额度的资产。
此次攻击为何能谋划如此长时间而未被察觉?
攻击者采用长达9个月的“低慢(Low and Slow)”积累策略,将持仓量控制在不触发警报的水平,直到累积到供应上限的84%才执行攻击。这种方式是绕过基于阈值监控机制的常见手法,显示协议需要更细致的长期行为监控能力。
Venus Protocol采取了哪些紧急应对措施?
Venus Protocol立即暂停了THE代币的全部借贷和提现功能,同时预防性暂停了BCH、LTC、UNI、AAVE、FIL和TWT等流动性高度集中的市场的相关功能,其他市场正常运作。Allez Labs与安全合作伙伴持续调查并更新进展。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
以太坊 48 小时内遭受 4 次智能合约攻击,损失超 150 万美元
Gate 新闻消息,4月29日——据 GoPlus Security 称,以太坊主网在过去48小时内遭遇了4次智能合约攻击,(月27-29)期间造成的综合损失超过150万美元。
这些事件包括:攻击 Onchain 聚合器合约,导致损失983,000美元;从 TradingProtocol 第三方资金库合约中盗窃,造成398,000美元损失;攻击 BCB 合约并利用重入漏洞,导致39,800美元损失;以及另一个合约中的任意调用漏洞,造成 QNT 资产损失124,900美元。
GoPlus Security 警告称,随着人工智能进入黑客领域,攻击正变得越来越精确且迅速,漏洞发现窗口已从“天”压缩到“秒”。
GateNews5 分钟前
ZetaChain 报告跨链消息传递漏洞:4 月 24 日攻击造成 $333,868 损失
Gate 新闻消息,4 月 29 日——ZetaChain 发布了一份事后分析报告,确认 4 月 24 日的攻击利用了其跨链消息传递管道中的漏洞。该事件导致总损失 $333,868 (,主要是 USDC 和 USDT),发生在以太坊、Arbitrum、Base 和 BSC 上的共 9 笔交易中。
GateNews7 分钟前
US Court Sentences Cartier Descendant to 8 Years for $470 Million Crypto Laundering Scheme
Gate News message, April 29 — A U.S. court has sentenced Maximilien de Hoop Cartier, a descendant of the Cartier luxury jewelry family, to eight years in prison for operating an unlicensed over-the-counter crypto exchange. Prosecutors said the operation moved more than $470 million in drug
GateNews28 分钟前
韩国金融委员会移交两起加密市场操纵案件予调查人员,API 密钥出借方可能面临责任
Gate 新闻消息,4月29日——韩国金融委员会在第八次例行会议上决定,将两起虚拟资产市场操纵案件移交给调查当局。所发现的操纵手法将传统证券市场策略与滥用 API 的技术相结合
GateNews1小时前
Syndicate 因 Commons 跨链桥漏洞被盗而损失 $330K ;被盗 1850 万枚 SYND 代币
Gate News 消息,4月29日——据 CertiK Alert 称,攻击者利用 Commons 跨链桥中的漏洞来瞄准 Syndicate,盗走了约 1850 万枚 SYND 代币。被盗代币随后以约 33 万美元的价格出售。
随后,攻击者将所得款项跨链转移到以太坊。
GateNews1小时前
Kyber Network 黑客将被盗资金转移至 Tornado Cash:嫌疑人先前曾遭到 FBI 起诉
Gate 新闻消息,4月29日——根据 Arkham 的区块链监测数据,Kyber Network 黑客 Andean Medjedovic 正在将被盗资金转移至 Tornado Cash。Medjedovic 先前曾在 2023 年末从 KyberSwap 窃取 48.8 百万美元,并在更早的一次攻击中从 Indexed Finance 窃取 16.5 百万美元。
GateNews2小时前
