去中心化借贷协议 Venus Protocol 于 2026 年 3 月 15 日遭到复杂攻击,损失约 370 万美元数字资产,并留下约 218 万美元坏账。攻击者借由操纵低流动性代币 $THE 的价格,结合链上借贷与链下衍生品仓位,完成跨平台套利,再次暴露 DeFi 抵押品机制的系统性风险。
攻击始末:七步连环操作如何席卷 Venus
根据链上分析机构 Lookonchain 在 X(前 Twitter)发布的详细报告,此次攻击结构缜密,同时运用隐私工具、多多个借贷协议与中心化交易所,形成难以即时侦测的跨链操作。
步骤 1:资金来源 攻击者通过隐私工具 Tornado Cash 获取约 7,400 ETH,掩盖资金来源。 步骤 2:借入稳定币 将 ETH 存入 Aave,借出约 992 万美元稳定币作为后续操作资本。 步骤 3:拉抬 $THE 价格 通过多个钱包在中心化交易所大量买入 $THE,同步建立多单仓位,人为推高代币价格。 步骤 4:以虚高抵押品借款 在币价虚高时,以两个主要钱包向 Venus Protocol 存入约 3,610 万枚 $THE,借出约 507 万美元资产,包括约 20 BTC、151.6 万枚 CAKE 及 2,172 枚 BNB。 步骤 5:砸盘 $THE 完成借款后,在中心化交易所大量抛售 $THE 并建立空单,使币价急速崩跌。 步骤 6:触发链式清算 $THE 抵押品急贬,Venus 触发大规模清算,借款无法足额回收,形成坏账。 步骤 7:链外获利 攻击者真正的获利来自中心化交易所的多空衍生品仓位,链外收益足以弥补链上可见的损失。 坏账组成与协议应对
清算结束后,Venus Protocol 留下约 118 万枚 CAKE 与 184 万枚 $THE 的坏账,合计约 218 万美元的无法回收缺口。协议随即暂停 $THE 市场的借贷与提款,部分相关池(如 CAKE 池)亦受波及,并下调多个低流动性市场的抵押品系数作为紧急预防措施。
Venus Protocol 目前尚未发布完整的官方声明,但社区报告指出其他市场仓位目前未受影响。用户建议持续关注 Venus 官方频道以获取最新资讯。
此攻击手法并不陌生
此次事件与 2022 年 Mango Markets 攻击如出一辙,均利用预言机操纵与抵押品供应上限的设计缺陷。两起事件共同揭示:允许低流动性代币作为抵押品、且抵押品定价高度依赖外部交易所报价的协议,极易成为价格操纵的目标。
风险提示:分析师指出,DeFi 借贷协议若未针对低流动性抵押品设置严格的供应上限、集中度限制与独立预言机机制,将持续暴露于类似攻击风险。此次事件再次呼吁业界重新审视抵押品资格标准与风险参数设计。
这篇文章 Venus Protocol 遭骇损失 370 万美元:$THE 低流动性代币成攻击破口,BNB Chain DeFi 再响警报 最早出现在 链新闻 ABMedia。
