2025年9月2日,Venus Protocol遭遇严重钓鱼攻击,导致某用户损失约1300万美元。事件迫使平台暂停核心功能,安全团队随即启动资产追回程序。
据Venus Protocol在X平台披露,黑客通过诱导受害者签署钓鱼授权获取其钱包控制权——无需私钥即可直接赎回、借出资产。攻击者首先闪电贷借出285.72 BTCB偿还受害者306.89 BTCB债务,随后利用钓鱼授权将受害者质押资产转移至自己钱包,包括1980万USDT、3744枚wBETH、311,571 FDUSD及超1.5万USDC。
黑客继续操作:以受害者BNB为抵押借入714万USDC。但由于BNB无法像普通代币直接转移,导致钱包风险敞口扩大,最终触发部分清算(约266万美元),受害者债务缺口进一步扩大。
紧急暂停与安全审查
Hexagate、Hypernative及PeckShield等安全机构向Venus发出异常交易警报。平台立即冻结关键操作,阻断黑客转移路径,并成立由PeckShield、Venus及受害者组成的Telegram响应小组,同时全面排查前端dApp安全性。
资产追回与系统恢复
Venus紧急开发定制化清算合约工具:自动扣押被盗代币、偿还攻击者债务,并将剩余资产转入安全钱包。通过全额清算攻击者抵押资产,团队在13小时内完成全部资金追回并恢复平台运行。
本次事件凸显DeFi领域快速响应与协同防御的重要性,同时表明钓鱼攻击(而非协议漏洞)已成为主要安全威胁。