Venus协议再曝安全漏洞:XVS大户转移195万美元事件分析
核心洞察:Venus协议(BNB Chain上最大借贷平台)于2026年3月中旬再次遭遇THE代币供应上限漏洞攻击,导致约215万至370万美元坏账。事件发生后,Tron创始人Justin Sun时隔两年首次转移62万枚XVS(价值195万美元)至新钱包,此举引发市场对大户信心和治理影响的猜测。目前XVS价格波动加剧,Bithumb交易所已将其列入下架观察名单,凸显协议长期安全隐患。Bitcoinworld The Block
Venus作为BNB Chain借贷龙头,TVL达14.7亿美元,FDV约9400万美元,但累计坏账超1亿美元,此次事件并非闪贷攻击,而是攻击者蓄谋9个月积累THE代币,通过捐赠攻击绕过供应上限(1450万枚THE),结合TWAP预言机延迟操纵价格,从0.27美元推高至5美元,借出CAKE、BNB等资产后崩盘清算。Chaincatcher 这反映DeFi低流动性资产风险管理顽疾:协议虽暂停THE市场并降8个市场抵押因子至0,但未根治历史模式。
事件时间线
| 日期(UTC) | 事件 | 细节 | 来源 |
|---|---|---|---|
| 2026-03-15前后 | THE代币攻击启动 | 攻击者存入1220万枚THE(价值240万美元),绕过供应上限,价格从0.27美元暴涨至5美元,借出价值超500万美元资产 | The Block |
| 2026-03-16 | Venus官方回应 | 确认供应上限漏洞,非闪贷;暂停THE借贷/提现,降BCH/LTC/AAVE等8市场抵押因子至0 | Chaincatcher |
| 2026-03-16 | Justin Sun转移XVS | 62万枚XVS(195万美元)从其关联钱包单笔转至新地址,时隔两年首次大额移动 | Coinness |
| 2025-03-21 | Bithumb下架观察 | XVS因交易量低/开发活动弱等列入观察名单,30-60天审查期 | Bitcoinworld |
时间逻辑:攻击后Sun转移正值协议治理敏感期(XVS持治理权),非直接抛售(无DEX大单),更像钱包重组或投票准备。但结合Venus坏账史,此信号可能放大市场恐慌,导致XVS短期承压。
Justin Sun XVS转移剖析
- 交易细节:620,000 XVS,价值195万美元,来源Sun历史钱包,目标全新地址(零交易史),单区块完成,Gas费正常。区块链追踪由ai_9684xtpa首报。Bitcoinworld
- 背景关联:Sun系早期Venus支持者,此为两年最大单笔XVS移动,正值THE攻击后。非卖出(DEX无对应订单),可能为:
- 治理准备:新地址配置投票,针对坏账治理提案。
- 安全重组:标准大户操作,避免旧钱包风险。
- 信心信号?:负面解读为主,叠加Bithumb观察,XVS持仓集中风险凸显。
- 市场反应:转移未直接引发抛售,但XVS波动率升,类似历史鲸鱼移动常预示波动(Sun过去ETH/BTC转移多在市场转折)。
Twitter讨论零星提及Venus攻击,但无Sun转移热议,表明事件影响力限于DeFi圈。X
漏洞技术细节与攻击路径
攻击者非即时闪贷,而是蓄谋积累:6月起囤THE,占Venus供应主导,绕正常存入直接“捐赠”至vTHE合约,突破1450万上限。循环:存THE→TWAP价格滞后上涨→借CAKE/BNB/BTC→买更多THE→重复。清算时THE崩至0.24美元,坏账118万枚CAKE + 184万枚THE(总215万美元)。攻击地址获Tornado Cash 7400 ETH资金,可能对冲CEX永续盈利。The Block
为何反复中招?Venus Compound分叉,捐赠攻击已知漏洞(Code4rena审计提但团队否认),低流动性资产(THE)TWAP易操。
历史坏账对比:Venus“韧性”or隐患?
Venus累计坏账超1亿美元,却TVL稳居BNB Chain首位,靠Binance背景+社区基金兜底。但模式雷同:预言机操+低液资产。
| 事件 | 日期 | 坏账金额 | 攻击类型 | 来源 |
|---|---|---|---|---|
| XVS价格操 | 2021-05 | 9500万美元 | CEX流动性操,借2000 BTC/5700 ETH | Chaincatcher |
| LUNA崩盘 | 2022-05 | 1120万美元 | Chainlink阈值卡顿,LUNA高价抵押 | Chaincatcher |
| snBNB操 | 2023-12 | 27.4万美元 | PancakeSwap薄流动性推高snBNB | Chaincatcher |
| wUSDM操 | 2024-02 | 71.6万美元 | ERC-4626价格 spike | Chaincatcher |
| ZKSync捐赠 | 2025-02 | 70万美元 | 同机制捐赠绕限 | The Block |
| THE供应上限 | 2026-03 | 215-370万美元 | 捐赠+TWAP操 | Bitcoinworld |
洞察:坏账年年有,协议靠国库/治理补,但用户信心渐蚀。XVS治理权集中(Sun等鲸鱼),转移或催化提案,但若无根治,TVL外流风险高。
市场与风险评估
| 风险因素 | 严重度 | 细节与影响 | |----------|--------|------------| | 安全反复 | 高 | 累计坏账1亿刀,THE事件后暂停多市场,TVL或降10-20% | RootData via Chaincatcher | | 交易所压力 | 中高 | Bithumb观察名单,交易量低易下架,韩国用户流失 | Bitcoinworld | | 鲸鱼集中 | 中 | Sun转移放大不确定,投票权易操控 | Coinness | | 竞争加剧 | 中 | BNB Chain其他借贷(如Aave)分流 | - |
数据局限:无实时XVS价格/TVL(新闻截止2026-03-16早间),坏账估算有差异(215万vs370万,依来源);无链上最新鲸鱼数据,Twitter无深度情绪分析。事件新鲜,需监测治理提案。
展望与建议
短期:XVS承压,观察Bithumb审查+坏账补救。Sun转移若转投票,积极信号;否则恐抛售导火索。
长期:Venus“抗打”靠Binance生态,但需升级预言机/动态上限,否则TVL霸主地位难保。投资者避低液资产暴露,优先硬件钱包+审批撤销(如Revoke.cash)。
行动视角:观望为主。大户勿追高,关注Venus postmortem报告(承诺中)。DeFi用户:检查旧授权,优先高TVL/审计协议。此事件警示:低液THE类资产=高风险,协议参数需实时调。