Venus协议这次栽得有点狠。3月16日Thena市场遭攻击,直接留下215万美元坏账,治理代币XVS过去24小时直接砸盘9%以上。整个过程不涉及闪电贷,oracle也没出问题,攻击者硬是玩了九个月长线布局才动手。
攻击者先从Tornado Cash提了7400枚ETH,慢慢在Thena囤积THE代币。囤够量后,直接向vTHE合约白送3600多万枚THE,绕过了正常供应上限检查,把市场汇率瞬间拉高3.8倍。Venus自己承认,这个代码漏洞现在已经被盯上并准备修补。
汇率被恶意抬高后,攻击者拿膨胀后的THE当抵押品,借出其他资产,然后在流动性稀薄的市场继续买THE,把价格从0.26美元推到接近0.56美元。等差不多了再反手抛售,THE价格一天内跌超17%,引发连锁清算。链上数据显示,攻击者提现前套现规模大概在370万到580万美元之间,包括tokenized bitcoin、BNB和稳定币等资产。
坏账主要集中在THE市场,CAKE受到的波及相对小一些。Venus紧急暂停THE的借贷和提现,把THE抵押因子直接砍到0,对BCH$457.23、LTC$55.41、AAVE$115.00等几个被标记为高风险的市场也收紧了参数。协议强调,用户资金损失仅限于受影响的池子,其他市场没被波及。
有趣的是,这个攻击地址早在事发前就被社区标记过。有人在社交媒体上喊话提醒Venus注意,协议却没动。Venus的解释很直白:我们是无许可的去中心化协议,光凭怀疑就冻结或拉黑地址,这不符合DeFi精神。没违规、没漏洞触发前,动不了手。这话听着有原则,实际也暴露了DeFi老生常谈的痛点——防君子不防小人。
XVS价格为什么拖到事后才崩?因为一开始市场没反应,直到链上分析挖出大户动向,尤其是几个和Justin Sun关联的钱包往交易所转了大量XVS,抛压这才显现。叠加整个风险资产都在流血,CoinDesk 20指数24小时跌4.6%,BTC现报$70,186(24h -4.88%),市场情绪本来就脆弱,XVS自然扛不住。
Venus总锁仓量超过14亿美元,属于BNB Chain上体量较大的借贷协议,这次事件规模不算毁灭性,但215万美元坏账也不是小数。协议已经表态,接下来会走治理流程,看风险基金能不能兜底,或者社区愿不愿意掏钱填坑。考虑到Venus过去几年在风险管理和参数调整上吃过不少亏,这次修复漏洞的速度倒还算快。
攻击者九个月布局,靠的就是DeFi的开放性和预言机外的价格操纵空间。THE这种流动性本来就不深的代币,被大额捐赠+循环借贷一拉一砸,价格波动直接失控。Venus把责任归到代码漏洞上,但社区很多人觉得,风险参数设置和市场监控同样有问题。THE市场为什么能让单人囤到那么大体量?为什么抵押因子没提前收紧?这些老问题又一次被翻出来拷问。
坏账最终怎么解决,治理提案估计很快就会上线。风险基金要是够厚实,或许能cover大部分损失;要是社区投票不同意补,那Venus的信誉又要扣分。眼下XVS价格还在低位徘徊,市场对协议的信任修复还需要时间。
DeFi走到今天,开放性和安全永远是天平两端。Venus这回的教训提醒大家,再去中心化的协议,代码和治理一旦有缝隙,迟早有人钻进来薅。修复漏洞只是第一步,怎么让风险参数更聪明、更及时,才是真考验团队功力的时候。