BNB Chain借贷协议Venus Protocol遭黑客精心策划攻击 操控代币THE价格后引爆连环清算
币圈子(120BTC.COm)讯:3月16日,BNB Chain头部借贷协议Venus Protocol遭到一场预谋长达9个月的精密攻击。黑客透过TornadoCash取得资金后,操控低流动性的THE(Thena原生代币)价格,触发连环清算,造成协议215万美元坏帐,黑客本人则提取约507万美元资产离场,真实获利预计更高。
攻击时间轴:9个月潜伏、40分钟收割
一个从Tornado Cash收到7,447枚ETH(约1,629万美元)的钱包地址「0x7a7」,已被链上研究人员锁定为幕后黑手。
攻击分两阶段进行:
长线潜伏(2025年6月起):攻击者透过正常存款流程,缓慢在Venus累积THE代币,最终持有协议供应上限的84%(约1,220万枚)。
当日引爆(约40分钟):攻击者以ETH作为Aave抵押品,借入992万美元稳定币,在中心化交易所大量囤积THE,疑似拉升现货价格;同时直接将3,610万枚THE转入协议合约,瞬间推高链上供应量。
接着启动递回回圈:存入THE→借出其他资产→用借出资产在链上继续买入THE→等待TWAP预言机延迟更新、价格被动拉高→重复。
THE现货价格在此过程中从$0.263飙升至$0.563,涨幅逾一倍。约40分钟后价格崩盘至$0.22,触发连环清算。
战果:507万美元提取,215万美元坏帐
攻击者最终借出并提取:
2,172枚BNB
151,600枚CAKE
20枚BTC
Venus因此承受的坏帐组成为约118万枚CAKE与184万枚THE,合计约215万美元。链上研究人员指出,攻击者在中心化交易所的THE空头部位可能带来额外收益,真实获利或远高于链上提取数字。
此次攻击手法属于已知的「supply cap donation attack」——,这是一种绕过Compound-fork协议供应上限的已知漏洞,Venus作为Compound分支本身即存在此攻击面。
Venus紧急应对:7个市场抵押因子归零
「Venus始终致力于透明度,调查结束后将发布完整报告。」
Venus官方表示,除先前已暂停THE借款与提取外,目前已将以下7个市场的抵押因子(Collateral Factor)降至0,预防措施针对单一使用者持有抵押品比例过高的市场:
BCH、LTC、UNI、AAVE、FIL、TWT、lisUSD
协议强调,上述7个市场以外的所有市场均未受影响,继续正常营运。完整事后报告将于调查结束后公布。
此次事件再次暴露DeFi借贷协议在低流动性代币与TWAP预言机延迟组合下的结构性风险——当攻击者有足够时间和资金缓慢建仓,传统的供应上限防护机制形同虚设。
