Venus Protocol 一名巨鯨遭釣魚攻擊,損失千萬美元。協議緊急介入,強制清算攻擊者並追回資金,卻也引發了對其去中心化本質的質疑。本文源自 Rekt News 所著文章,由深潮TechFlow 整理、編譯及撰稿。 (前情提要:Venus Protocol用戶遭釣魚攻擊、損失2,700萬美元,不是協議被駭! ) (背景補充:你的電腦正在幫駭客挖比特幣!3,500個網站遭植入「挖礦腳本」,隱形劫持讓用戶毫無察覺) V enus Protocol 的一位巨鯨剛剛透過慘痛經歷認識到,Zoom 通話的費用可能比你的抵押貸款還要高。一個惡意視訊客戶端、一個完美定時的簽名,1300 萬美元消失得比 rug pull 公告還快。但故事的轉折點在於 — Venus 並沒有只是旁觀用戶被掏空然後無動於衷。 他們關閉了自己的協議,緊急召集投票,並在不到 12 小時內完成了 DeFi 領域最具爭議的「救援行動」。 最初只是一次看似普通的網路釣魚攻擊,最終演變成了一堂關於去中心化協議是否能「魚與熊掌兼得」的精彩大師課。 當拯救巨鯨意味著暴露協議中隱藏的終止開關時,真正獲救的是誰? 事件始末 9 月 2 日,UTC 時間 9:05。Venus Protocol 的一位巨鯨啟動了他們的 Zoom 客戶端,準備開啟新的一天的 DeFi 業務。但看似無辜的視訊軟體卻被悄悄入侵,讓攻擊者可以透過後門存取他們的整個設備存取權限。 受害者簽署了一筆委託授權交易——這是一種在 DeFi 中每天發生數千次的例行操作權限。 無需接觸私鑰即可管理您倉位的協議。一般來說,簽署這些協議的速度比閱讀服務條款的速度還快。 點擊。簽名。瞬間「爆倉」。 從簽名到財務毀滅,僅僅六秒鐘。 一個被攻破的視訊客戶端,就這樣將一個價值 1300 萬美元的錢包的管理權限拱手交給了耐心等待時機的攻擊者。大多數網路釣魚故事到這裡就結束了 — 巨鯨遭殃,攻擊者銷聲匿跡,Twitter 上對受害者的嘲諷持續一週。 但這次,竊賊的計畫比簡單的「打劫一空」要野心勃勃得多。 當竊取數百萬美元還不夠滿足時,又會發生什麼? 盜竊行動 UTC 時間 09:05:36 。就在巨鯨簽下他們的「加密自殺協議」六秒後,攻擊者啟動了一場閃電貸的「傑作」。漏洞交易: 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286 Venus Protocol 的事後分析詳細解構了攻擊者的操作策略: 第一步:閃電借入 285.72 BTCB — 畢竟,為什麼要用自己的錢?DeFi 允許你無需抵押就能借入數百萬資金。 第二步:用借來的資金清償受害者現有的債務,同時再從攻擊者自己的帳戶中追加 21 BTCB。看似慷慨,其實是冷酷無情的「會計式謀殺」。 第三步:啟動委託權限。轉移受害者的全部數位資產 — 包括價值 1980 萬美元的 vUSDT、715 萬美元的 vUSDC、285 BTCB,以及一長串其他代幣。這一切都完全合法,因為六秒前那份「天真」簽名已授權完成。 第四步:絕妙一擊。用這些剛竊取的資產作為抵押,以受害者剩餘的 BNB 為基礎借入 714 萬美元的 USDC。攻擊者不僅掏空了錢包,還讓受害者為自己的「盜竊」買單。 第五步:借入足夠的 BTCB 來償還閃電貸。交易完成,攻擊者悄然消失。 一次自動交易,一位被掏空的巨鯨,一個非常滿意的加密竊賊 — 他們剛剛將別人一生的積蓄變成了自己的抵押玩具場。 然而,貪婪往往會讓獵人變成獵物。 當一場「完美盜竊」變成「自殺行動」,又會發生什麼? 應對措施 UTC 時間 09:09,盜竊案發生四分鐘後,Hexagate 和 Hypernative 的監控系統開始發出警報。 這可不是普通的「偵測到可疑交易」提示。 這是一場價值 1300 萬美元的五級警報,安全公司立刻知道該聯繫誰。 Venus Protocol 的回應?核選項直接啟動。 從盜竊到協議暫停,僅僅用了二十分鐘。Venus 啟動了他們自己的終止開關,凍結了整個生態系統的所有核心功能。 借貸?停止。提現?終止。清算?暫停。 一個用戶遭遇網路釣魚,整個協議陷入停擺。 這不僅僅是危機控制 — 更是一場金融戰役。 Venus 果斷限制了自己的平台,試圖困住攻擊者竊取的贓物。 駭客持有的每一個 vToken 瞬間變成了毫無價值的廢紙,被鎖在 Venus 的緊急權限之下。 但為了拯救一個巨鯨而凍結整個 DeFi 協議?這樣的決定可不是開發團隊能單獨拍板的。 於是,民主登場:緊急治理投票。 當社群只有十二小時決定是否透過中心化手段拯救一個用戶的財富時,你真的可以稱之為去中心化嗎? 閃電民主 Venus 不僅暫停了協議,還召集了一場緊急「線上會議」,讓任何 Web2 危機處理團隊都羨慕不已。 他們稱之為「閃電投票」。 畢竟,沒有什麼比將數百萬美元的決策壓縮到幾個小時的 Discord 激烈爭論中更能體現「基層治理」了。 提案內容簡單明了: 第一階段: 部分恢復功能(讓用戶避免被清算)。 第二階段: 強制清算攻擊者的倉位。 第三階段: 進行全面安全審查以防止類似事件再次發生。 第四階段: 完全恢復 Venus 的運作。 社群的反應?100% 一致贊同。 不是 99%。也不是 98%。 每一張選票都支持 Venus 的行動計畫,彷彿是某種 DeFi 版的朝鮮選舉結果。 或許這是真正的共識,或許是出於自我保護。 或者當你的協議正在流失數百萬美元,而競爭對手卻像禿鷹一樣圍著你轉時,分歧就成了一種奢侈品,沒人能負擔得起。 到了下午,Venus 獲得了授權。 接下來就是執行 DeFi 歷史上最具爭議的清算行動:一次需要繞過智能合約規則,強行奪取攻擊者抵押品的操作。 受害者因為一次錯誤的交易簽名陷入危機,而 Venus 即將簽下「民主的死亡證書」。 當「程式碼即法律」遇上緊急權限時,會發生什麼? 復甦行動 UTC 時間 21:36 。在盜竊發生十二小…
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
