这是一起典型的DeFi借贷协议漏洞利用案例,
攻击者利用THE低流动性特性,通过oracle操纵和绕过supply cap机制,短期内借出约370万美元资产,最终给Venus留下约215万美元坏账。
theblock.co +1事件详细分析攻击过程:
攻击者地址(0x1a35…6231)先从Tornado Cash接收7400 ETH作为启动资金。
利用donation攻击(直接向vTHE合约转入THE代币,而非正常mint存款),绕过Venus对THE的supply cap限制。
构建大额THE抵押仓位,通过“存款THE → 借出其他资产 → 用借出资金买更多THE → 等待TWAP oracle更新价格”的循环,反复泵价(THE价格从约0.27美元短暂拉至近5美元)。
成功借出约20 BTCB、150万CAKE、200 BNB等资产,总价值约370万美元。
最终卖压导致价格崩盘至0.24美元,攻击者仓位被清算,但清算未能完全覆盖债务。
theblock.co核心漏洞:
低流动性资产风险:THE链上流动性极薄,易被操纵。
Oracle依赖:Venus使用时间加权平均价格(TWAP)oracle,循环交易能让它滞后更新。
已知但未彻底修复的Compound fork漏洞:donation机制在2023年Code4rena审计中已被指出,却未完全堵住(类似2022年Mango Markets攻击和Venus此前Zksync部署事件)。
theblock.co后果与响应:Venus出现215万美元坏账(主要1.18M CAKE + 1.84M THE),TVL已从峰值70亿跌至约14.7亿。
协议立即暂停THE借贷/提现,宣布“异常活动”并调查。
后续收紧规则:
冻结6个抵押市场(BCH、LTC、UNI、AAVE、FIL、TWT)
对市值<20亿、日成交<1亿、DEX TVL<4000万、单一用户抵押集中度>60%的资产,将抵押因子降至0。
Thena官方确认自家合约未被攻破,用户资金安全。
这不是孤立事件,Venus历史上已累计超9500万美元坏账(2021 XVS操纵、2022 LUNA崩盘等),暴露了DeFi借贷平台在流动性检查、oracle鲁棒性、supply cap执行上的系统性短板