目錄
DeFi 再次出包
Venus Protocol 作為 BNB Chain 上最大的借貸協議,在 3 月 15 日時遭遇嚴重的供應上限捐贈攻擊,導致該協議出現約 215 萬美元的壞帳,並被提取走價值超過 507 萬美元的資產。
埋伏已久的攻擊行動
本次的攻擊與常見的閃電貸突擊不同之處在於,這次針對 Venus 協議的攻擊顯然是布局已久。
根據鏈上數據追蹤可以發現,攻擊者早在 2025 年 6 月就已經開始為這場攻擊鋪路,在長達九個月的時間裡,攻擊者並未表現出任何異常,而是透過數個錢包地址,以極其緩慢且自然的節奏在 Venus 協議中存入 THE 代幣。
利用長時間看似正常行為的操作成功避開多數安全預警系統的偵測,並在成功控制 THE 代幣的協議設定上限 84% 後開始進行最終的攻擊行為。
為什麼選擇 THE 代幣?
講解為什麼選擇 THE 代幣前,首先要先了解攻擊者是透過什麼機制進行攻擊的。
供應上限捐贈攻擊
在 Venus 這類型的 DeFi 協議中,當用戶透過正規的 mint 函數存入資產時,合約會觸發一個檢查機制:判斷當前供應量加上新存入數量是否會超過設定上限,萬一超過,那交易就會被中止,以此來避免單一幣種資產過度膨脹,進而掏空協議的國庫。
而攻擊者巧妙地利用捐贈的方式避免 Venus 觸發供應上限保護機制。在本次事件中,攻擊者利用 ERC-20 代幣的 transfer 功能,直接將大量 THE 代幣轉入 Venus 協議中對應的 vToken 合約地址,由於轉帳進入的地址是 vToken 而非 THE 原先地址,因此並未觸發上限保護。
THE 代幣的特質
THE 能夠在 Venus 內的 Core Pool 上線代表著它有一定的交易深度,而 Core Pool 池的特性就是允許持有 THE 代幣的投資者借出 BTC、BNB 等高流動性資產。
不過雖然 THE 被歸類在 Core Pool,但它的市值與流動性仍屬於中小型量級,攻擊者僅需要千萬美元的資金就有機會操縱 THE 價格並以此為攻擊點進行價格操縱。
跨平台的組合拳
翻看這場惡意攻擊會發現,攻擊者並未在 Venus 協議上賺取大量金錢,因此推測獲利的主要來源除了 THE 借出的 BTC、BNB 外,應該還有在 CEX 進行的衍生品交易獲利。
鏈上與鏈下的雙向擠壓
攻擊者首先利用 THE 市值較小、代幣流動性較差的特性,在 CEX 內大量購買 THE 代幣,並在短時間內將代幣價格由原先的 0.26 美元推升至 0.56 美元,漲幅超過 100%。
隨後攻擊者就將這些代幣利用供應上限捐贈攻擊的手段,避開 Venus 的防護機制,並在 THE 價格高點時抵押換取 BTC、BNB 進行套現。
CEX 合約收割
對比攻擊過程中造成的價格波動,很難不將獲利來源指向 CEX 內的衍生品交易,THE 代幣在當下出現大幅度的上下插針,很有可能就是攻擊者所致。
無論是攻擊者購買 THE 的拉升環節,還是最後利用借出 BTC、BNB 導致 THE 清算、暴跌的時刻,攻擊者都有充足的時間進行開倉,並藉此再賺取價差所獲得的利潤。
結語
對 Venus 而言,這是一場無法阻擋的災難,不僅遭惡意攻擊導致部分 Core Pool 池無法使用,更產生大量壞帳,對於 DeFi 市場而言,這更是一次慘痛的教訓,不過相信經歷這次攻擊後,更多協議將採取更為安全的防護措施,以免用戶資金出現不可挽回的損失。
本報告僅供資訊分享之用,內容不構成任何形式的投資建議或決策依據。文中所引用的數據、分析與觀點均基於作者的研究與公開來源,可能存在不確定性或隨時變動的情況。讀者應根據自身情況及風險承受能力,審慎進行投資判斷。如需進一步指導,建議尋求專業顧問意見。
學習討論群組
親愛的讀者,你可能在思考:「這些深入的分析方法和珍貴的資料分享,我要到哪裡去學習和看到?」 不必再四處尋找!除了 DA Labs 網站優質的內容外,我們建立了完整的社群生態系統,邀請想學習金融科技、區塊鏈/加密貨幣的朋友一同加入:
- LINE 官方帳號 https://urli.ai/line/q-2Q3R?muid=bot-jpq9c#
- DA 各公開頻道 https://t.me/addlist/3qrlxEnu7slkYWY9
在 DA 交易者聯盟的各個社群平台中,有來自不同領域的專業講師和交易者,每日不停歇地討論市場資訊。動動你的手指,跟著我們踏上精彩的投資學習之旅吧!
DA Labs —— Bridge the Fintech Gaps
