Venus Protocol 和 Bunni DEX 刚刚遭遇严重的安全问题,造成数千万镁的损失,并被迫暂停运营进行处理。
Venus Protocol 和 Bunni DEX黑客,损失超过 2100 万镁
Venus Protocol:巨鲸在钓鱼中损失了 1350 万镁
9 月 2 日晚间,BNB 链上最大的借贷协议之一Venus Protocol不得不暂停所有运营,因为一名“巨鲸”在一次钓鱼攻击中损失了 Venus Protocol 部署的约 1350 万镁资产,包括 vUSDT、vUSDC、vWETH 和 vFDUSD。
我们已知悉用户钱包已被清空(智能合约是Safe的)并正在积极调查。
— Venus Protocol (@VenusProtocol) 2025年9月2日
Venus 目前已根据安全协议暂停运行。一旦有更多信息,我们将立即告知大家。
事件详情
- 据安全公司PeckShield称,受害者在不知情的情况下签署了一项恶意交易,打开攻击者的钱包地址(0x7fd…6202a)提取资产。
此交易使黑客可以完全访问钱包中的代币。
CertiK 表示,受害者的钱包调用了 updateDelegate 函数,在全部金额被盗之前官方授予黑客权限。
- 总计提取的资产金额估计为 1350 万镁。这是 DeFi 中一种非常常见的钓鱼形式:攻击者只需要一个批准签名,就可以连续提取资金,直到权限被撤销。
Venus Protocol 的回应
- 事件发生后,金星迅速发布公告:
根据安全程序暂停整个协议。
确认: “ Venus 未被利用。这是一次针对个人用户的钓鱼攻击。智能合约仍然是安全的。”
据称已直接联系受害者,以寻求保护和恢复资产的解决方案。
- 团队点击,如果立即重新开放协议,黑客将能够获取钓鱼钱包中的剩余资金。因此,暂停运营的决定是必要的。
恢复结果
- 5个小时后,Venus宣布允许用户调整仓位。
- UTC 时间晚上 9:58,重新开放整个协议,包括提取和清算。
- 值得注意的是,Venus 表示,该协议通过强制清算黑客的钱包来收回所有损失的资金——也就是说,迫使攻击者清算其借入的仓位以收回资产。
- 消息公布后,XVS代币价格随即暴跌至5.84镁。不过,得益于Venus团队的快速处理,价格很快回升至6镁大关。
XVS 过去 24 小时内的价格走势,2025 年 3 月 9 日上午 10:30 在 CoinGecko 上的截图
Bunni DEX:多链遭黑客攻击,损失 840 万镁
同一天,Bunni DEX 交易所在遭到黑客攻击后不得不暂停所有智能合约的运行,导致该项目损失约 840 万镁。
🚨 Bunni 应用程序受到安全漏洞的影响。作为预防措施,我们已暂停所有网络上的所有智能合约功能。我们的团队正在积极调查,并将尽快提供更新。感谢您的耐心等待。
— Bunni (@bunni_xyz) 2025年9月2日
事件详情
- 据区块链安全公司CertiK称,此次攻击针对的是 Bunni 的主要合约系统 BunniHub。
- 在以太坊上,仅 USDC/USDT 池就损失了 600 万镁,而 Unichain 上的姨太 /weETH 池又提取了230 万镁。总计估计损失为 830 万至 840 万镁。
- 提取被追踪到两个以太坊钱包。攻击者的身份尚不清楚,但链上分析师认为这是一次蓄意挖矿,而非意外漏洞。
- 项目团队证实,他们正在密切监控这两个钱包中的交易,并直接向黑客发送链上消息。
Bunni暂停所有智能合约以进行调查
- 发现该问题后,Bunni开发团队立即宣布:
Bunni 应用程序受到安全漏洞的影响。作为预防措施,我们已暂停所有网络上的所有智能合约功能。目前无法提取。团队正在积极调查,并将尽快提供最新信息。
- 该项目还表示,正在与 Seal 911、Hypernative、Cyfrin Audits、Impossible 和 BlockSec 等几家主要安全合作伙伴合作,建立紧急“作战室”并诊断原因。
黑客结果
- 自上次公告发布以来(大约20小时前),Bunni团队表示他们仍在积极调查。然而,此次黑客攻击的具体原因、实际损失总额以及对用户的赔偿方案仍不清楚。
- 受上述消息影响,BUNNI 价格在过去 24 小时内暴跌超过 42.9%,目前徘徊在 0.006415镁左右。
BUNNI 过去 24 小时内的价格走势,CoinGecko 于 2025 年 3 月 9 日上午 10:40 的截图
Coin68合成
