BNB Chain上最大的借贷平台Venus Protocol近日遭受价格操纵攻击,攻击者针对低流动性的Thena原生代币THE进行操纵,导致该协议产生约215万美元的坏账。
攻击手法分析
攻击者利用THE代币在链上流动性薄弱的特性,实施了经典的价格预言机操纵循环:将THE作为抵押品存入,借出其他资产,然后用收益购买更多THE,随着时间加权平均预言机更新反映被推高的价格,重复这一过程。Venus在其核心池中已将THE列为抵押品。
根据链上研究员Weilin Li的分析,THE的价格从约0.27美元被推高至近5美元。这种攻击手法与2022年10月的Mango Markets漏洞利用类似。Li表示,他是在自动化程序发现THE在中心化和去中心化交易所价格存在差异后注意到这次攻击的。
为了突破Venus对THE的供应上限,攻击者使用了”捐赠攻击”,直接将THE代币转移到vTHE合约,而不是通过正常的铸造流程存入。这膨胀了协议识别的汇率,有效地绕过了供应上限。
攻击者可能自食其果
在初始借贷轮次后,THE价格稳定在0.50美元左右。攻击者试图进一步推高价格,继续用借来的资产购买THE。但卖压压倒了这一努力,攻击者的健康因子降至接近1,触发了清算。
尽管名义抵押品价值约3000万美元,但市场深度几乎为零,无法吸收抛售。清算后THE价格暴跌至约0.24美元,低于攻击前水平。Li表示,攻击者在链上几乎没有获利,甚至可能亏损,不过他指出攻击者可能在外部平台持有对冲的永续期货头寸。
区块链分析师EmberCN估计坏账约为215万美元,包括价值118万美元的CAKE和价值184万美元的THE。EmberCN指出,攻击地址最初从加密货币混币器Tornado Cash获得了7400 ETH的资金。
Venus Protocol的坏账历史
这次事件为Venus Protocol的长期亏损历史增添了新的一笔。2021年Venus自身XVS代币的价格操纵导致其产生超过9500万美元的坏账。2022年Terra/LUNA崩溃又给该协议带来了1400万美元的坏账,同年BNB Chain桥接黑客事件中,被盗的BNB被用来借出1.5亿美元的稳定币。
2025年2月,Venus在ZKSync部署上的一次捐赠攻击通过几乎相同的机制造成了超过70万美元的坏账。2025年9月,针对Venus用户的1350万美元网络钓鱼攻击也迫使该协议暂停运营并通过紧急治理投票。
周日攻击中使用的捐赠攻击向量是Compound分叉借贷协议中已知的漏洞,此前已在Venus自己的Code4rena安全审计中讨论过。
Venus Protocol在X上承认THE池存在”异常活动”,并表示随着协议调查的继续将提供更新。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/16/venus-protocol%e9%81%ad%e4%bb%b7%e6%a0%bc%e6%93%8d%e7%ba%b5%e6%94%bb%e5%87%bb%ef%bc%8cthena%e4%bb%a3%e5%b8%81the%e8%a2%ab%e5%88%a9%e7%94%a8%e5%af%bc%e8%87%b4%e7%ba%a6200%e4%b8%87%e7%be%8e%e5%85%83/
