撰文:链上观
延展思考下 Venus Protocol 被攻击的逻辑可能性:
1)安全专家都说是大户被钓鱼了,常规理解拿了私钥直接提款就好了怎么会有闪电贷?
大概率是黑客通过社工获得了 updateDelegate 授权,拿到了大户的账户操作权限,却没有即时的流动性可以撤出,通俗说就是拿了权限但是大户只是有抵押品在,借出的钱又不在,黑客得想办法拿到大户的抵押品才行;
2)是不是大户个人被钓鱼的问题,就跟 Venus 合约没关系了?前边说了,如果黑客发现大户账上没流动性,正常情况下应该是白忙一场。但为啥通过简单的闪电贷攻击就又能撤出抵押品呢?答案就是 Venus 的合约机制了,黑客可能通过闪电贷以及一系列的 vToken 跨平台机制的汇率差,帮大户还了钱拿出了抵押品,还多拿出来一部分。
简单来说,是大户的抵押品被盗了没错,但是大概率会成为 Venus 合约平台的坏账,除非大户傻到还要给平台还钱吧。
3)其他用户的资金暂时安全,但 Venus 平台的责任问题可不小。虽然本次攻击的触发条件是大户被社工钓鱼在先,但终究还是获利成功了,被盗的 $3,000 万也大概率会成为 Venus 平台的坏账,加上临时恐慌的挤兑效应,其影响够 Venus 喝一壶的。
但更大的影响在于,这事掀起了大家对于 Venus 「习惯性被攻击」的可怕回忆,XVS 价格被操纵事件,被沦为 BNB 的跨链桥洗钱工具等,都是 Venus 安全工程根本性缺陷造成的伤害影响。作为 BSC 上最大的借贷协议,如此这般恐怕说不过去。 Note: 以上内容是根据目前披露信息的正常逻辑推测,具体以实际披露的细节为主。
