BNB链上借贷平台Venus Protocol遭遇新型漏洞利用,攻击者通过操纵代币流动性滥用闪电贷机制。
该事件造成约360万美元资金流失,迫使协议限制多个资产的交易功能。
漏洞利用过程解析
事后分析表明该操作已持续数月。攻击者在此期间持续积累Thena原生代币THE。
攻击者总计从公开市场收购了约1450万枚THE,约占该代币流通供应量的84%。
随后攻击者绕过常规存款流程,将代币转入Venus Protocol借贷系统。此操作使其建立了远超代币实际流通量的人工头寸。
记录显示最终漏洞利用周期涉及约5320万枚THE,较该资产实际供应量高出367%。
该策略利用了代币薄弱的链上流动性。攻击者反复存入THE作为抵押品,以此借入其他资产,并利用借入资金购买更多THE。
每个循环都推高了代币预言机价格,制造需求上涨假象并虚增抵押品价值。
随着每次循环,攻击者不断扩大借贷规模,最终将系统推至极限。
该漏洞最终导致约360万美元资产流失,包括667万枚PancakeSwap代币、2801枚BNB、1970枚WBNB、158万枚USDC以及20枚比特币BEP2。
协议应对措施
作为回应,Venus Protocol团队暂停了THE交易市场,并对多个高风险资产实施更严格的抵押要求。
修订后的框架提高了抵押门槛,并限制对流动性薄弱或所有权集中代币的风险敞口。
新规要求作为抵押品的代币必须满足更严格的市场市值、交易量和供应分布标准。
根据更新后的标准,六个资产被标记为高风险,包括比特币现金(BCH)、莱特币(LTC)、Uniswap(UNI)、Aave(AAVE)、Filecoin(FIL)和Trust Wallet代币(TWT)。
非首次安全事件
这并非该协议首次遭遇安全事件。
2025年9月,Venus Protocol因钓鱼攻击导致核心资金池控制器被入侵,损失约2700万美元。
攻击者通过部署恶意合约地址操纵系统,该漏洞使得vUSDC和vETH等iToken资产被非法获取。
尽管如此,平台总锁仓价值(TVL)仍保持相对稳定。
数据显示近期TVL维持在14.7亿美元附近,最新漏洞事件后未出现急剧下降。
最终总结
- Venus Protocol因攻击者操纵THE代币流动性及滥用闪电贷机制遭受360万美元损失
- 攻击者在发起漏洞利用前积累了1450万枚THE(占流通量84%)
