#VenusProtocol疑似闪电贷攻击

2026年3月15日，DeFi生态系统遭受震荡。BNB Chain上的主要借贷平台Venus Protocol遭遇了一次复杂的攻击，导致超过370万美元的数字资产丧失。这不是一次简单的黑客入侵，而是一个复杂的、耗时数月的操作，利用了低流动性和预言机机制。

以下是对发生事件、执行方式和后续影响的完整分析。

📅 目标：Venus Protocol
Venus是一个去中心化借贷协议，用户可以供应抵押品来借用其他资产。攻击者针对其Core Pool，使用Thena (THE)（一个流动性相对较低的代币）进行攻击。

🕵️ 逐步分析：漏洞剖析
该攻击结合了长期积累策略和使用闪电贷的短期价格操纵。

第1阶段：长期计划 (2025年6月 - 2026年3月)
攻击者进行了长期操作。从2025年6月开始，他们通过正常渠道缓慢积累THE代币。在九个月内，他们累积了该协议THE供应上限的约84%（约1450万枚代币）。

第2阶段：漏洞利用 (2026年3月15日)
这是"疑似闪电贷"要素发挥作用的地方。

1. 绕过供应上限：攻击者没有正常存入，而是直接将大量THE持仓转入协议合约，绕过了标准供应限制。这创建了5320万THE的抵押头寸——几乎是允许限额的3.7倍。

2. 价格操纵：基于这个人为膨胀的抵押品，攻击者进行了递归循环：
· 存入THE。
· 针对膨胀的THE价值借入其他资产。
· 使用借入的资产在去中心化交易所(DEXs)上购买更多THE，推高其价格。
· 等待TWAP（时间加权平均价格）预言机更新，反映这个新的、更高的价格。
· 这个循环将THE的价格从$0.263推高到接近$0.563，进一步膨胀了抵押品的价值。

3. 资产清空：基于人为虚高的抵押品价值，攻击者从Venus资金池中借入了大量资产，包括：
· 约20个BTCB（包装比特币）
· 约150万个CAKE代币
· 约200个BNB
· 约158万个USDC

4. 撤离：一旦资产被清空，攻击者抛售剩余的THE持仓，使其价格跌回现实（约$0.22）。这使Venus被留下一堆现在一文不值的THE抵押品，以及约215万美元的坏账。

⚡️ 闪电贷的角色是什么？
虽然被称为"疑似闪电贷攻击"，但理解其机制至关重要。闪电贷允许用户在没有预付抵押品的情况下借入大量资金，只要这笔钱在同一区块内归还即可。

· 它被用来启动攻击了吗？初始积累表明这是一个长期头寸。
· 它被用来放大攻击了吗？是的。递归购买THE操纵价格可能由闪电贷资助，允许攻击者以零初始资本风险控制市场。

📉 直接后果
· 市场混乱：THE的价格在24小时内暴跌超过17%，引发了大规模清算。THE的交易量激增超过5500%，市场做出了反应。
· 协议回应：Venus迅速采取行动以防止进一步损失：
· 暂停所有借用和提款。
· 为七个高风险市场（BCH、LTC、UNI、AAVE、FIL、TWT和lisUSD）将抵押因子(CF)降低到零，其中单个用户持有了不成比例的抵押品份额。
· 确认所有其他市场保持不受影响和可操作状态。

🔒 DeFi的关键要点
这一事件强调了DeFi中持久存在的漏洞：

1. 低流动性=高风险：流动性低的代币是价格操纵的主要目标。
2. 预言机滞后：对标准TWAP预言机的依赖可能被利用，如果它们不能足够快地更新以反映实时操纵。
3. 长期操作：并非所有攻击都在一个区块内发生；此次攻击结合了一年的准备和最终的爆炸性交易。

Venus表示将在调查完成后发布完整报告。就目前而言，这再次提醒了人们无许可金融系统内存在的风险。

( )()