Venus Protocol 遭供应上限攻击，损失 370 万美元

去中心化借贷平台Venus Protocol周日宣布，在核心池检测到针对Thena（THE）代币资金池的异常交易活动。根据Venus的风险管理合作伙伴Allez Labs的最新调查，此次事件为精心策划的供应上限操纵攻击，从谋划到执行历时约9个月，最终损失超过370万美元。

攻击全流程解析：四阶段精心谋划

Allez Labs的调查揭示了此次攻击的完整运作逻辑，分为四个关键阶段：

第一阶段：长达9个月的代币缓慢积累 自2025年6月起，攻击者缓慢积累THE代币，最终持有量达到供应上限的84%，约1450万枚。这一缓慢策略避免了触发平台风险警报。

第二阶段：直接转账绕过供应上限 攻击者并未通过正常存款流程，而是直接将代币转入协议合约，完全规避了供应上限机制，最终建立起5320万枚THE的头寸，相当于供应上限的3.67倍。

第三阶段：操纵TWAP预言机 利用THE代币链上流动性极低的结构性弱点，攻击者通过递归操作操纵TWAP（时间加权平均价格）预言机，将THE的价格从约0.27美元推高至约0.53美元。

第四阶段：以虚高抵押品大规模借出资产 在人为拉高的抵押品估值下，攻击者以5320万枚THE为抵押借出了多种高流动性资产。

遭窃资产明细与平台紧急应对措施

攻击者在高峰时期借出的资产：

• 667万枚CAKE（PancakeSwap原生代币）
• 2801枚BNB（BNB链原生代币）
• 1970枚WBNB
• 158万枚USDC
• 20枚BTCB（代币化比特币）

Venus Protocol立即暂停了所有THE代币的借贷和提现业务，同时出于预防目的暂停了链上流动性高度集中的市场（包括BCH、LTC、UNI、AAVE、FIL及TWT）的借贷和提现功能，其他市场未受影响，维持正常运作。

安全隐患的深层启示：低流动性代币的系统性脆弱性

此次Venus Protocol的攻击揭示了DeFi借贷协议的多个系统性风险：低流动性代币的TWAP预言机极易通过小规模操作影响价格读数；供应上限机制若未防范直接合约转账，存在可被绕过的技术漏洞；而长达9个月的缓慢积累策略，也暴露了协议在长期持仓行为监控方面的潜在盲点。

常见问题

Venus Protocol的“供应上限攻击”是什么？

供应上限是协议设计用来限制单一资产可作为抵押品的最大持仓量的安全机制。此次攻击者通过直接向合约转账的方式绕过了这一机制，使持仓量达到供应上限的3.67倍，再通过操纵预言机放大抵押品估值，借出超出应获授信额度的资产。

此次攻击为何能谋划如此长时间而未被察觉？

攻击者采用长达9个月的“低慢（Low and Slow）”积累策略，将持仓量控制在不触发警报的水平，直到累积到供应上限的84%才执行攻击。这种方式是绕过基于阈值监控机制的常见手法，显示协议需要更细致的长期行为监控能力。

Venus Protocol采取了哪些紧急应对措施？

Venus Protocol立即暂停了THE代币的全部借贷和提现功能，同时预防性暂停了BCH、LTC、UNI、AAVE、FIL和TWT等流动性高度集中的市场的相关功能，其他市场正常运作。Allez Labs与安全合作伙伴持续调查并更新进展。