加密貨幣世界中謠言傳播迅速。昨天,關於 Venus Protocol 被攻擊的傳言在 X 平台上引起了震動。起初,有人認為借貸協議本身已被入侵。
但經過數小時的聯合分析後澄清了事實,Venus 並未被駭。相反,一次網路釣魚攻擊捕獲了一條大鯨魚,一筆惡意交易就耗盡了價值 2700 萬美元的資產。
這不是協議故障。這是人為錯誤。這也是對 DeFi 最大弱點的鮮明提醒:一次粗心的點擊就能讓財富化為烏有。
受害者批准了來自假網站的惡意交易。那一個簽名就給了攻擊者的一次性錢包 0x7fd8…202a 對他的代幣無限訪問權。
一旦批准被授予,攻擊者立即出手。資產在幾秒鐘內消失。根據 Cyvers Alerts
以下是被耗盡的資產:
1980 萬美元 vUSDT
715 萬美元 vUSDC
14.6 萬美元 vXRP
2.2 萬美元 vETH
甚至還有 BNB Chain 上的 285 個 BTCB
世代財富就這樣消失了。
驚人之處:Venus 從未被駭
Venus Protocol 在 X 平台上確認
他們的合約是安全的。前端?沒問題。沒有智能合約漏洞。沒有代碼漏洞。
這純粹是社會工程學。一個假鏈接,一次信任的點擊,然後轟,開放的授權完成了剩下的事情。
這就是 DeFi 力量的陰暗面。無限代幣授權使 DeFi 無縫且快速。但如果授權落入壞人之手,它們也會將每個錢包變成一顆定時炸彈。
社區反應:震驚與同情
加密 Twitter 充滿了各種反應。有些人對這條大鯨魚表示同情;其他人則將其視為另一個警告。
他指出攻擊者如何耐心等待一個粗心的時刻。釣魚鏈接可能在受害者點擊前已經流傳了數天。
Venus Protocol 此後暫停了平台的部分功能,同時直接與受害者合作。恢復選項仍然有限,但努力正在進行中。
為什麼釣魚在 DeFi 中屢屢得手
DeFi 消除了中間人。這既是美麗之處,也是危險所在。你持有密鑰。你簽署交易。如果出了問題,沒有客戶支持可以求助。
釣魚者完美地利用了這一點:
- 假網站逐像素複製真實網站。
- Twitter 機器人在官方公告下回覆帶有"緊急"鏈接。
- 無限授權意味著攻擊者只需訪問一次。
在傳統金融中,銀行可以撤銷欺詐轉賬。在 DeFi 中,區塊鏈的不可變性意味著一旦資產離開你的錢包,它們就消失了。
經驗教訓:如何保持安全
Venus 事件突顯了簡單但關鍵的安全步驟:
1. 不要信任隨機鏈接。始終手動輸入 URL 或將官方網站加入書籤。
2. 仔細檢查每筆交易。在簽名前閱讀授權內容,無限代幣訪問權是有風險的。
3. 定期撤銷舊授權。像 Revoke.cash 這樣的工具使其變得簡單。
4. 使用硬件錢包。它們增加了攻擊者無法繞過的物理確認步驟。
當錢包變得豐厚時,釣魚者在牛市中茁壯成長。他們知道貪婪會殺死謹慎。不要給他們機會。
更大的圖景:社會工程學 vs 智能合約
這次攻擊顯示了 DeFi 風險的真正所在。
智能合約正變得更強大。協議漏洞雖然仍在發生,但與 2021-22 年相比已經減少了。
另一方面,人類仍然是最薄弱的環節。
當釣魚者可以駭入信任時,他們不需要駭入代碼。一個假的 MetaMask 彈窗。一個承諾"空投"的 Twitter 鏈接。一瞬間的分心可能會耗費數百萬。
安全專家認為,教育比新技術更重要。錢包用戶體驗改進、更清晰的授權警告和更好的詐騙檢測可能有所幫助。但最終,自我託管伴隨著自我責任。
資金能否被追回?
Venus Protocol 確認已與受害者溝通。追回努力正在進行,但現實來說,被轉入攻擊者控制的錢包的資金很少能夠回來。
有時,攻擊者會協商類似贖金的返還,但目前還沒有這樣的跡象。這些資產可能很快通過橋接和混幣器混合,使追蹤變得更加困難。
最後思考:對 DeFi 用戶的警醒
這不僅僅是另一個漏洞標題。這是一個提醒,DeFi 安全始於用戶。
協議可以堅不可摧。審計可以通過。但一次錯誤的點擊仍然可能耗盡數百萬。
隨著牛市升溫,預計會有更多釣魚嘗試。更多假空投。更多帶有緊急鏈接的 Twitter 機器人。
- 不要成為下一個頭條。
- 仔細檢查。經常撤銷。保持警惕。
- 因為在 DeFi 中,你只能學習這個教訓一次。
聲明:這不是交易或投資建議。在購買任何加密貨幣或投資任何服務之前,請務必進行自己的研究。
在 Twitter 上關注我們 @nulltxnews 以獲取最新的加密貨幣、NFT、AI、網絡安全、分佈式計算和 元宇宙新聞!
來源:https://nulltx.com/27m-gone-in-seconds-venus-protocol-user-hit-by-phishing-attack/
