2025年9月2日,一场针对Venus协议用户的网络攻击事件引发了广泛关注。社区用户@KuanSun1990在Venus协议上的多个头寸遭到转移,损失高达1300万美元。幸运的是,慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功捕获了这一异常行为,并协助用户进行了深入分析。以下是该事件的详细复盘。
### 攻击背景与初步分析
此次攻击事件的核心受害者是一位社区用户,其Venus协议上的资产遭到大规模转移。慢雾MistEye系统在第一时间识别出异常交易行为,并启动应急响应机制。由于攻击者刻意抹除痕迹,分析工作面临诸多挑战。根据受害者回忆,其遭遇攻击的过程颇具典型性——误入伪造的Zoom会议链接,并在虚假网站引导下运行了恶意代码,导致设备被完全控制。
### 攻击手法深度解析
#### 社会工程学攻击链
攻击者首先利用商务合作的名义,通过Telegram发送伪造的Zoom会议链接。受害者因会议冲突匆忙加入,未仔细核查域名真实性。伪装成商务洽谈的攻击者在会议中持续催促,使受害者在紧迫情境下未能识别网站的恶意升级提示。这一过程充分展现了攻击者对人类心理的精准把握。
#### 设备控制与钱包篡改
攻击者通过某种方式获取了受害者电脑控制权限。关键突破点在于篡改了受害者电脑中的浏览器扩展钱包代码。值得注意的是,Chrome浏览器有一套严格的扩展完整性检查机制——若官方扩展代码被修改,浏览器会立即提示扩展损坏。但攻击者通过巧妙操作绕过了这一机制。
#### 独特的钱包篡改技术
攻击者利用Chrome开发者模式的特性,将官方原版扩展文件复制一份并导入浏览器,从而获得一个既可修改代码又保持官方扩展ID的新扩展。这一操作基于Chrome根据manifest.json文件key生成扩展ID的机制。更令人惊讶的是,攻击者还通过Patch Chrome内容验证函数的方式全局关闭了扩展完整性检查(macOS系统需重新签名)。
#### 资产转移完整流程
1. **资金筹备**:攻击者提前筹集约21.18个BTCB和205,000个XRP作为攻击资本
2. **等待时机**:耐心等待受害者操作钱包的窗口期
3. **操作劫持**:将赎回操作篡改为委托操作,受害者因硬件钱包盲签功能而中招
4. **闪电贷操作**:通过Lista闪电贷借入约285个BTCB,并立即为受害者”还款”
5. **抵押品转移**:将受害者的抵押品赎回至攻击者控制地址
6. **最终获利**:归还闪电贷后完全接管Venus头寸
### 协议方应急响应
Venus团队在察觉异常后展现出惊人的应急能力:
1. **快速响应**:立即暂停协议并封锁EXIT_MARKET操作
2. **紧急提案**:通过Snapshot发起紧急投票,确保协议安全
3. **资产追回**:通过强制清算机制成功追回受害用户资金
### 链上追踪分析
慢雾MistTrack工具显示,攻击者相关地址曾从ChangeNOW提币,并与多个兑换平台、跨链平台及受制裁交易所存在交互,进一步揭示了攻击者的洗钱链条。
### 安全建议与启示
此次事件暴露出几个关键安全漏洞:
1. **社会工程学风险**:用户需提高对钓鱼链接的警惕性
2. **扩展钱包安全**:官方扩展被篡改的可能性不容忽视
3. **硬件钱包局限**:缺乏交易数据解析能力的硬件钱包存在盲签风险
幸运的是,Venus团队的快速反应为用户挽回了损失。这一事件再次证明,在去中心化世界,安全意识与技术防护同样重要。慢雾MistEye的成功捕获也彰显了专业安全工具在Web3安全防护中的关键作用。
这场精心策划的攻击最终以攻击者失败告终,但留给整个行业的警示却不容忽视。随着DeFi生态的日益复杂,攻击手法的不断演进,唯有持续提升安全防护能力,才能为用户提供更可靠的服务环境。