Venus Protocol在BNB Chain上被黑客玩了一把,损失精确到360万美元。攻击者盯上了Thena的原生代币THE,利用流动性稀薄的弱点,把闪电贷机制当成了提款机。整个过程持续了好几个月,黑客先在公开市场疯狂扫货,买进了1450万枚THE,占流通供应量的84%。拿到手后直接塞进Venus的借贷池子,绕过了正常存款通道,硬生生造出一个远超真实供应的巨型仓位。链上记录显示,攻击循环里THE的总量一度飙到5320万枚,比实际流通量高出367%。这套操作的核心就是反复用THE做抵押借出其他资产,再拿借来的钱继续买THE,推高oracle价格。价格一涨,抵押品价值跟着水涨船高,黑客就能借更多,循环往复,直到把系统玩崩。最终卷走的资产包括667万枚PancakeSwap代币、2801枚BNB、1970枚WBNB、158万美元USDC,外加20枚Bitcoin BEP2。
Venus团队反应还算快,第一时间把THE市场暂停交易,同时给几个高风险资产收紧了抵押规则。新规直接抬高了抵押门槛,对流动性差、持仓集中的代币大幅限制敞口。六个代币被重点盯上,Bitcoin Cash、Litecoin、Uniswap、Aave、Filecoin和Trust Wallet Token全中枪。现在这些资产想当抵押品,得先过市值、成交量、供应分布三道硬杠。协议这么做其实是亡羊补牢,THE的流动性本来就薄得像纸,黑客一搅和,价格直接被操纵到离谱水平。整个攻击暴露了借贷协议在低流动性代币上的致命短板,一旦有人控盘,oracle再怎么更新也挡不住人为推高的假象。黑客没用特别复杂的合约,只是把老套路玩得极致熟练,几个月耐心布局,换来几分钟的暴富。链上数据摆在那,谁看了都得承认,这不是技术漏洞,是治理和风控的集体失守。
这已经不是Venus第一次出事。2025年9月那次更狠,核心池控制器被钓鱼攻破,损失高达2700万美元。攻击者直接部署恶意合约,薅走了vUSDC和vETH等iToken资产。那次之后TVL一度晃了晃,最终还是稳在14.7亿美元附近。这回360万美元虽然金额小了,但性质更恶劣,直接打在协议最核心的抵押借贷逻辑上。当前行情看,BTC报$73,138(24h涨1.78%),BNB报$675.44(24h涨1.52%),生态整体还算稳,可Venus内部的信任裂痕已经越来越大。团队新加的抵押限制短期能止血,长远能不能防住类似攻击还得看执行力度。低流动性代币继续上架,风控再严也只是纸面功夫。黑客手里有钱有耐心,协议方却总在事后补丁,差距摆在那,谁都看得清楚。Venus想在BNB Chain站稳脚跟,光靠暂停市场和改规则远远不够,得从源头把流动性要求和oracle防护真正硬起来,不然下一次,可能就不是360万能了事的数字。