買幣
付款方式為
USD
USD
買幣&賣幣
Hot
支援 Visa、Mastercard、SEPA 等多種支付方式
C2C
0 手續費
靈活買賣幣,0手續費
Gate Card
加密貨幣付款卡 全球付款無憂
行情
交易
基礎交易
進階交易
合約
合約
數百種永續合約市場
TradFi
黃金
一站交易全球傳統資產
期權
Hot
歐式 T 型報價,豐富的到期日和行權價
統一帳戶
實現最大化資金效率
模擬交易
合約入門
從零開始掌握合約交易技巧
合約活動
參與活動贏取獎勵
模擬交易
使用模擬資金 無風險體驗真實交易
理財
打新
CandyDrop
參與活動賺糖果,贏超值空投獎勵
Launchpool
一鍵質押,賺取潛力新幣
HODLer Airdrop
持有 GT,免費領取海量空投
Launchpad
率先鎖定明星代幣
Alpha積分
交易鏈上資產,享空投福利!
合約積分
合約交易得積分,空投獎勵待領取
理財產品
幣圈
廣場
分享動態 發現價值
直播
moments live
每日行情分析直播
熱聊
隨時隨地與幣友即時交流
新聞
一站式獲取最新行業資訊
更多
推廣
AI
其他
TradFi
福利中心

Venus Protocol 在 THROUGH 的低流動性 THE 代幣被利用漏洞,造成 370 萬美元被盜後,凍結了七個市場

CryptoPulse Elite
XVS5.92%
THE-20.51%
BNB3.67%
ETH7.67%

Venus Protocol Freezes Seven Markets Following $3.7M Exploit Venus Protocol,BNB鏈上最大的借貸市場,在2026年3月15日遭遇了價值370萬美元的漏洞攻擊,攻擊者通過九個月的「供應上限」攻擊操縱了THENA的低流動性THE代幣的價格。

此事件導致該協議估計有215萬美元的壞帳,為了防範集中風險,Venus將另外七個市場的抵押因子降至零。

攻擊者使用來自加密貨幣混合器Tornado Cash的7,400 ETH資金,利用Venus上THE的薄流動性,將其價格從0.27美元推升至近5美元,隨後在清算觸發後回落至0.24美元。

攻擊方法:九個月的積累與預言機操縱

安全研究人員與Venus的風險管理方Allez Labs詳細說明了這次攻擊背後的複雜機制,該機制通過多階段策略繞過了協議的安全措施。

「低慢」積累階段

從2025年6月開始,攻擊者通過正常存款渠道逐步累積THE代幣,持續約九個月。這一策略使他們在未觸發標準風險警報的情況下,累積了約12.2百萬THE,約佔供應上限的84%。

直接轉賬繞過供應上限

3月15日,攻擊者通過將THE代幣直接轉入vTHE合約,而非通過標準鑄幣流程進行存款,實現了攻擊。這種「捐贈攻擊」技術,是在Compound分叉協議中的已知漏洞,瞬間將認可的供應量膨脹至上限的3.67倍,形成巨大的抵押基礎。

迴圈式價格操縱

在建立了超大抵押頭寸後,攻擊者利用THE在鏈上的極低流動性與TWAP(時間加權平均價格)預言機的延遲,啟動了迴圈操作:

  • 存入膨脹的THE抵押品
  • 借出其他資產(包括BTCB、CAKE和BNB)
  • 使用借來的資金在鏈上購買更多THE
  • 等待TWAP預言機更新,反映被操縱的較高價格

攻擊者成功借出約667萬CAKE、2,801 BNB、158萬USDC和20個BTCB,直到清算機制觸發。

緊急風險緩解措施:七個市場的抵押品凍結

為應對此次攻擊並控制潛在的系統性風險,Venus Protocol實施了緊急參數調整,針對抵押品集中度較高的市場。

受預防性凍結影響的市場

Venus將以下七個市場的**抵押因子(CF)**降至0,這些市場因單一用戶抵押品集中度超過60%而被認為具有高風險:

市場

採取的措施

理由

BCH、LTC、UNI、AAVE、FIL、TWT、lisUSD

抵押因子降至0

高集中風險;單一用戶持有過多抵押品比例

其他所有Venus市場仍正常運作,未受此預防措施影響。

市場易受攻擊的標準

此次凍結針對的市場特徵包括:

  • 市值低於20億美元
  • 日交易量低於1億美元
  • DEX總鎖倉價值(TVL)低於4000萬美元
  • 單一用戶抵押品集中度超過60%

事件影響與協議背景

此次漏洞事件是Venus Protocol歷史上多次安全挑戰的一部分,自2021年以來累積了多次壞帳。

歷史壞帳累積

  • 2021年XVS操縱:因操縱Venus自有XVS代幣價格,產生9500萬美元以上的壞帳
  • 2022年Terra/LUNA崩潰:壞帳1400萬美元
  • 2022年BNB鏈橋被攻擊:盜取的BNB用於借出1.5億美元的穩定幣
  • 2025年2月捐贈攻擊:在Venus的ZKSync部署中,利用相同機制產生70萬美元壞帳

這些事件後,協議的總鎖倉價值(TVL)從70億美元的高點下降到約14.7億美元。

THENA確認其智能合約未被攻破,平台上的用戶資金仍然安全。

持續調查與未來報告

Venus Protocol表示將致力於透明,調查完成後將發布全面的事後分析報告。

Venus的風險管理合作夥伴Allez Labs仍在分析攻擊向量,並已分享初步調查結果,詳細描述了四階段的利用過程。

常見問題

DeFi借貸中的「供應上限攻擊」是什麼?

供應上限攻擊是繞過協議限制單一資產作為抵押品最大數量的安全機制。在此次事件中,攻擊者通過將THE代幣直接轉入協議合約,而非通過標準渠道存款,成功創建了比預期上限高出3.67倍的抵押頭寸,並在操縱價格預言機後用來借出過多資產。

在Venus Protocol漏洞中被盜的資產有哪些?

攻擊者利用膨脹的THE抵押品,從Venus借出了約507萬美元的資產,包括2172個BNB、151.6萬個CAKE和20個BTCB。然而,鏈上清算過程使協議損失約215萬美元的壞帳,主要包括約118萬個CAKE和184萬個THE未償還。

Venus Protocol如何應對此次攻擊?

Venus立即採取緊急措施,暫停所有THE代幣的借貸和提取。作為更廣泛的預防措施,協議將七個市場的抵押因子降至0,包括比特幣現金(BCH)、萊特幣(LTC)、Uniswap(UNI)、Aave(AAVE)、Filecoin(FIL)、Trust Wallet Token(TWT)和lisUSD。其他市場則正常運作。

查看原文
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見聲明
留言
0/400
暫無留言