loading...
2025年9月2日,社区用户@KuanSun1990在Venus协议上的多个头寸遭恶意转移,损失约1300万美元。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控系统MistEye成功捕获该异常行为,并协助开展链上分析。本次事件暴露了Web3生态中社会工程学攻击与客户端安全机制缺失的深层风险。
(https://x.com/SlowMist_Team/status/1962854755585429877)
攻击者以商务合作为诱饵,诱导目标用户加入伪造的Zoom在线会议。受害者在未核实域名的情况下匆忙参会,期间其电脑被植入恶意代码,导致浏览器扩展钱包被篡改。由于使用硬件钱包且开启盲签功能,缺乏“所见即所签”验证机制,用户在不知情状态下签署了被替换的updateDelegate交易,致使头寸被委托至攻击者控制地址。
攻击者通过Telegram发送伪装成官方会议的链接,利用时间紧迫感促使用户快速点击。尽管受害者使用知名官方扩展钱包,但攻击者借助Chrome开发者模式,复制原版扩展文件并导入浏览器,生成一个扩展ID与官方一致但可任意修改代码的新扩展。该方式绕过了Chrome内置的完整性校验机制。
进一步研究表明,攻击者可能还通过修改浏览器扩展内容验证函数,全局关闭完整性检查。虽然具体手法尚未完全确认,但此路径已被列为高可能性推测。
在正式攻击前,攻击者于9月1日已筹集21.18个BTCB与205,000个XRP,为接管头寸做好准备。
攻击发生时,受害者本意是赎回USDT,却因钱包扩展被篡改,实际提交的是updateDelegate操作。硬件钱包无法显示完整交易细节,加上盲签开启,导致用户在无感知情况下完成授权。
(https://bscscan.com/tx/0x75eee705a234bf047050140197aeb9616418435688cfed4d072be75fcb9be0e2)
完成委托后,攻击者立即启动套利流程:通过Lista闪电贷借入285个BTCB,结合自有资产为受害用户偿还贷款,随后将抵押品全部赎回至自身地址。
为归还闪电贷,攻击者选择将赎回的USDT/USDC/WBETH/FDUSD/ETH重新存入Venus协议并借出BTCB,避免在DEX直接兑换带来的滑点损失。
就在攻击者完成头寸接管后,Venus团队迅速反应,立即暂停协议,并限制所有EXIT_MARKET操作,阻断其获利路径。
(https://bscscan.com/tx/0xe4a66f370ef2bc098d5f6bf2a532179eea400e00e4be8ea5654fa9e8aeee65bf#eventlog)
随后,团队发起紧急提案投票,决定对攻击者头寸进行强制清算。经过多方协作,最终成功追回全部被盗资金,实现“化险为夷”。
链上反洗钱工具MistTrack显示,攻击者相关地址曾从ChangeNOW提币。
其他关联地址与1inch、Across Protocol及受制裁交易所eXch存在频繁交互,显示出明显的资金清洗意图。
此次事件是一起典型的高级持续性威胁(APT)型网络钓鱼攻击。攻击者结合社会工程学、浏览器扩展漏洞与闪电贷套利,构建了一条完整的攻击链。尽管技术手段高度隐蔽,但Venus团队在关键时刻展现出卓越的应急响应能力,通过协议暂停与强制清算机制有效止损。该案例再次凸显了“所见即所签”机制的重要性,以及对硬件钱包安全策略的必要升级。未来,提升用户端安全意识与强化协议级防护,将成为保障Web3生态安全的核心议题。
203
727
891
390
877
595
