长期布局反噬自身:攻击者链上亏损超470万美元

在DeFi领域,黑客攻击常以“资金瞬间消失”为标签,但发生在Venus Protocol的此次事件却截然不同。攻击者历时九个月精心筹备,通过混币服务筹集资金并持续积累Thena代币THE,最终在突破协议抵押供应上限后,利用其高估值借出约1500万美元资产。然而,链上追踪显示,攻击者投入992万美元,清算后仅余520万美元,净损失约470万美元。

退出策略缺陷引发价格冲击连锁反应

BlockSec指出,攻击结构本身存在重大设计缺陷。在流动性薄弱环节,大量抛售抵押代币导致价格剧烈波动,加剧了市场冲击。这一连锁反应不仅影响协议清算机制,更反噬攻击者自身头寸,使其未能实现预期收益。尽管攻击行为具备高度计划性,但执行层面的策略失误使其陷入被动。

链外获利可能与协议坏账并存

值得注意的是,攻击者的实际收益或存在于链外。有安全研究员称,通过做空THE成功获利1.5万美元,表明其可能在链下市场对冲或套利。与此同时,协议方也遭受损失——因清算机器人在低流动性环境下抛售THE,产生约210万美元坏账。该漏洞早在2023年Code4rena审计中被预警,但当时被评估为“无负面副作用”,未获足够重视。

历史重演:结构性风险屡次暴露

作为BNB Chain上最大的借贷平台,Venus Protocol总锁仓价值约14.5亿美元,自2020年上线以来已多次陷入危机。此次事件并非孤立,而是其长期风险累积的体现。

多起事故频发:从钓鱼诈骗到预言机操控

去年9月,一名用户因钓鱼攻击导致资产被盗,一度引发2700万美元损失担忧,最终通过清算该用户头寸修复。此前,因特定汇率预言机被操控,曾造成90万美元坏账;2023年为应对跨链桥事件余波,协议曾准备处理约1.5亿美元BNB潜在清算。2022年Terra/Luna崩溃期间,因价格反馈机制失效,累计形成1400万美元坏账;2021年则因原生代币XVS剧烈波动,引发2亿美元清算与9000万美元坏账。

警示:风险模式未变,需重新审视设计逻辑

此次攻击打破了“近期DeFi攻击即为即时盗取”的普遍认知,揭示抵押上限、预言机依赖与流动性脆弱等核心问题仍具可乘之机。尽管攻击者链上亏损,但市场更关注的是:类似风险是否正潜伏于其他借贷协议之中?事件提醒,仅靠临时修补无法根治系统性缺陷,必须从机制设计层面重构风险控制框架。