去中心化借貸平台 Venus Protocol 週日宣布,在核心池偵測到針對 Thena(THE)代幣資金池的異常交易活動。根據 Venus 的風險管理合作夥伴 Allez Labs 的最新調查,此次事件為精心策劃的供應上限操縱攻擊,從謀劃到執行歷時約 9 個月,最終損失超過 370 萬美元。
攻擊全流程解析:四階段精心謀劃
Allez Labs 的調查揭示了此次攻擊的完整運作邏輯,分為四個關鍵階段:
第一階段:長達 9 個月的代幣緩慢積累 自 2025 年 6 月起,攻擊者緩慢積累 THE 代幣,最終持有量達到供應上限的 84%,約 1,450 萬枚。這一緩慢策略避免了觸發平台風險警報。
第二階段:直接轉帳繞過供應上限 攻擊者並未透過正常存款流程,而是直接將代幣轉入協議合約,完全規避了供應上限機制,最終建立起 5,320 萬枚 THE 的頭寸,相當於供應上限的 3.67 倍。
第三階段:操縱 TWAP 預言機 利用 THE 代幣鏈上流動性極低的結構性弱點,攻擊者透過遞歸操作操縱 TWAP(時間加權平均價格)預言機,將 THE 的價格從約 0.27 美元推高至約 0.53 美元。
第四階段:以虛高抵押品大規模借出資產 在人為拉高的抵押品估值下,攻擊者以 5,320 萬枚 THE 為抵押借出了多種高流動性資產。
遭竊資產明細與平台緊急應對措施
攻擊者在高峰時期借出的資產:
· 6,670,000 枚 CAKE(PancakeSwap 原生代幣)
· 2,801 枚 BNB(BNB Chain 原生代幣)
· 1,970 枚 WBNB
· 1,580,000 枚 USDC
· 20 枚 BTCB(代幣化比特幣)
Venus Protocol 立即暫停了所有 THE 代幣的借貸和提現業務,同時出於預防目的暫停了鏈上流動性高度集中市場(包括 BCH、LTC、UNI、AAVE、FIL 及 TWT)的借貸和提現功能,其他 Venus 市場未受影響,維持正常運作。
安全隱患的深層啟示:低流動性代幣的系統性脆弱性
這次 Venus Protocol 的攻擊揭示了 DeFi 借貸協議的多個系統性風險:低流動性代幣的 TWAP 預言機極易透過小規模操作影響價格讀數;供應上限機制若未防範直接合約轉帳,存在可被繞過的技術漏洞;而長達 9 個月的緩慢積累策略,也暴露了協議在長期持倉行為監控方面的潛在盲點。
常見問題
Venus Protocol 的「供應上限攻擊」是什麼?
供應上限是協議設計用來限制單一資產可作為抵押品的最大持倉量的安全機制。此次攻擊者透過直接向合約轉帳的方式繞過了這一機制,使持倉量達到供應上限的 3.67 倍,再透過操縱預言機放大抵押品估值,借出超出應獲授信額度的資產。
此次攻擊為何能謀劃如此長時間而未被察覺?
攻擊者採用長達 9 個月的「低慢(Low and Slow)」積累策略,將持倉量控制在不觸發警報的水準,直到累積到供應上限的 84% 才執行攻擊。這種方式是繞過基於閾值監控機制的常見手法,顯示協議需要更精細的長期行為監控能力。
Venus Protocol 採取了哪些緊急應對措施?
Venus Protocol 立即暫停了 THE 代幣的全部借貸和提現功能,同時預防性暫停了 BCH、LTC、UNI、AAVE、FIL 和 TWT 等流動性高度集中市場的相關功能,其他市場正常運作。 Allez Labs 與安全合作夥伴持續調查並更新進展。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
ASOS 聯合創辦人的比特幣錢包在泰國身故後遭 ~$4M 挖走
Gate 新聞訊息,4月29日——在 ASOS 的聯合創辦人 Quentin Griffiths 去世之後,他在泰國從建築物墜落,約 $4 百萬 的比特幣在數天內、透過三筆分別的交易,從他的錢包中被轉出,轉入未知地址。
Griffiths 的長子 Joel,
GateNews21分鐘前
Trading Protocol 的 YieldCore-3rd-deal 金庫遭到攻擊並損失 398K
Gate News 訊息,4 月 29 日——根據鏈上分析師 PeckShield 的說法,Trading Protocol 的 YieldCore-3rd-deal 代管金庫在一次攻擊中遭到利用,導致約 $398,000 的資金損失。該攻擊利用了該金庫智能合約中缺少呼叫者權限檢查的漏洞,
GateNews37分鐘前
法國公民因透過殼公司與加密貨幣帳戶洗錢超過 $470 百萬美元,被判處 8 年監禁
Gate News 訊息,4 月 29 日——根據美國司法部的說法,一名法國-阿根廷公民 Maximilien de Hoop Cartier 因經營未獲許可的加密貨幣交易所,並透過殼公司與加密貨幣帳戶洗錢超過 $470 百萬美元,被判處八年監禁。
GateNews43分鐘前
Robinhood 使用者遭釣魚攻擊:利用 Gmail 點號別名功能
Gate 新聞訊息,4 月 28 日——Robinhood 使用者遭到釣魚攻擊,該攻擊利用 Gmail 的「點號別名」功能,並同時挖掘該平台帳戶建立流程中的弱點。攻擊者註冊了稍微變更的假 Robinhood 帳戶所用電子郵件地址,利用 Gmail 會忽略使用者名稱中的點號、從而將系統自動產生的電子郵件路由到合法使用者收件匣的特性,將該郵件送達目標使用者。
該攻擊包含在帳戶設定期間,透過選用的「裝置名稱」欄位注入惡意 HTML 程式碼。這使得釣魚連結與假警告文字能夠出現在來自「[email protected]」的官方電子郵件中;這些郵件通過 SPF、DKIM 與 DMARC 等驗證檢查,使其看起來對收件者而言是可信且合理的。點擊釣魚按鈕的使用者會被導引至用於竊取其憑證的假登入網站。
Robinhood 已確認,這些釣魚電子郵件並非源自系統遭到入侵,而是源自其帳戶建立流程遭到濫用。該公司表示,個人資訊與資金未受到影響。建議使用者刪除可疑電子郵件,並透過官方應用程式或網站直接存取其帳戶,而不是點擊未知連結。
此次事件反映出加密產業更廣泛的趨勢:釣魚與社交工程攻擊正在造成重大損失。資安公司 Hacken 表示,這類攻擊在 2026 年第一季度造成了 百萬 的損失,凸顯攻擊者正愈發鎖定使用者行為與平台設計漏洞作為目標,而不是試圖進行直接的系統入侵。
GateNews6小時前
GlassWorm Malware Plants 73 Sleeper Extensions in OpenVSX to Steal Crypto Wallets
Gate News message, April 28 — Security researchers have identified 73 malicious extensions planted by GlassWorm malware in OpenVSX's registry, with six already activated to steal developers' cryptocurrency wallets and credentials. The extensions were uploaded as fake copies of legitimate listings, w
GateNews7小時前
加密駭盜在過去十年橫跨 518 起事件竊走 171 億美元
Gate 新聞訊息,4 月 28 日——根據 ChainCatcher 數據,過去十年加密貨幣遭受加密攻擊的累計損失已達 17.1 十億美元,發生在 518 起事件中。
過去五年造成的損失達 15.2 十億美元,來自 450 起以上事件;而去年則約有 2.5 十億美元在 140+ 起事件中被竊取。這顯示,與早前十年相比,攻擊頻率出現加速。
近期分析顯示,加密攻擊已由利用智慧合約漏洞,轉向鎖定私鑰竊取與存取控制遭突破,這代表攻擊者作案方式出現顯著轉變。
GateNews15小時前
