Venus Protocol 和 Bunni DEX 剛剛遭遇嚴重的安全問題,造成數千萬鎂的損失,並被迫暫停運營進行處理。
Venus Protocol 和 Bunni DEX黑客,損失超過 2100 萬鎂
Venus Protocol:巨鯨在釣魚中損失了 1350 萬鎂
9 月 2 日晚間,BNB 鏈上最大的借貸協議之一Venus Protocol不得不暫停所有運營,因為一名“巨鯨”在一次釣魚攻擊中損失了 Venus Protocol 部署的約 1350 萬鎂資產,包括 vUSDT、vUSDC、vWETH 和 vFDUSD。
我們已知悉用戶錢包已被清空(智能合約是Safe的)並正在積極調查。
— Venus Protocol (@VenusProtocol) 2025年9月2日
Venus 目前已根據安全協議暫停運行。一旦有更多信息,我們將立即告知大家。
事件詳情
- 據安全公司PeckShield稱,受害者在不知情的情況下籤署了一項惡意交易,打開攻擊者的錢包地址(0x7fd…6202a)提取資產。
此交易使黑客可以完全訪問錢包中的代幣。
CertiK 表示,受害者的錢包調用了 updateDelegate 函數,在全部金額被盜之前官方授予黑客權限。
- 總計提取的資產金額估計為 1350 萬鎂。這是 DeFi 中一種非常常見的釣魚形式:攻擊者只需要一個批准簽名,就可以連續提取資金,直到權限被撤銷。
Venus Protocol 的回應
- 事件發生後,金星迅速發佈公告:
根據安全程序暫停整個協議。
確認: “ Venus 未被利用。這是一次針對個人用戶的釣魚攻擊。智能合約仍然是安全的。”
據稱已直接聯繫受害者,以尋求保護和恢復資產的解決方案。
- 團隊點擊,如果立即重新開放協議,黑客將能夠獲取釣魚錢包中的剩餘資金。因此,暫停運營的決定是必要的。
恢復結果
- 5個小時後,Venus宣佈允許用戶調整倉位。
- UTC 時間晚上 9:58,重新開放整個協議,包括提取和清算。
- 值得注意的是,Venus 表示,該協議通過強制清算黑客的錢包來收回所有損失的資金——也就是說,迫使攻擊者清算其借入的倉位以收回資產。
- 消息公佈後,XVS代幣價格隨即暴跌至5.84鎂。不過,得益於Venus團隊的快速處理,價格很快回升至6鎂大關。
XVS 過去 24 小時內的價格走勢,2025 年 3 月 9 日上午 10:30 在 CoinGecko 上的截圖
Bunni DEX:多鏈遭黑客攻擊,損失 840 萬鎂
同一天,Bunni DEX 交易所在遭到黑客攻擊後不得不暫停所有智能合約的運行,導致該項目損失約 840 萬鎂。
🚨 Bunni 應用程序受到安全漏洞的影響。作為預防措施,我們已暫停所有網絡上的所有智能合約功能。我們的團隊正在積極調查,並將儘快提供更新。感謝您的耐心等待。
— Bunni (@bunni_xyz) 2025年9月2日
事件詳情
- 據區塊鏈安全公司CertiK稱,此次攻擊針對的是 Bunni 的主要合約系統 BunniHub。
- 在以太坊上,僅 USDC/USDT 池就損失了 600 萬鎂,而 Unichain 上的姨太 /weETH 池又提取了230 萬鎂。總計估計損失為 830 萬至 840 萬鎂。
- 提取被追蹤到兩個以太坊錢包。攻擊者的身份尚不清楚,但鏈上分析師認為這是一次蓄意挖礦,而非意外漏洞。
- 項目團隊證實,他們正在密切監控這兩個錢包中的交易,並直接向黑客發送鏈上消息。
Bunni暫停所有智能合約以進行調查
- 發現該問題後,Bunni開發團隊立即宣佈:
Bunni 應用程序受到安全漏洞的影響。作為預防措施,我們已暫停所有網絡上的所有智能合約功能。目前無法提取。團隊正在積極調查,並將儘快提供最新信息。
- 該項目還表示,正在與 Seal 911、Hypernative、Cyfrin Audits、Impossible 和 BlockSec 等幾家主要安全合作伙伴合作,建立緊急“作戰室”並診斷原因。
黑客結果
- 自上次公告發布以來(大約20小時前),Bunni團隊表示他們仍在積極調查。然而,此次黑客攻擊的具體原因、實際損失總額以及對用戶的賠償方案仍不清楚。
- 受上述消息影響,BUNNI 價格在過去 24 小時內暴跌超過 42.9%,目前徘徊在 0.006415鎂左右。
BUNNI 過去 24 小時內的價格走勢,CoinGecko 於 2025 年 3 月 9 日上午 10:40 的截圖
Coin68合成
