Venus協議再曝安全漏洞:XVS大戶轉移195萬美元事件分析
核心洞察:Venus協議(BNB Chain上最大借貸平臺)於2026年3月中旬再次遭遇THE代幣供應上限漏洞攻擊,導致約215萬至370萬美元壞賬。事件發生後,Tron創始人Justin Sun時隔兩年首次轉移62萬枚XVS(價值195萬美元)至新錢包,此舉引發市場對大戶信心和治理影響的猜測。目前XVS價格波動加劇,Bithumb交易所已將其列入下架觀察名單,凸顯協議長期安全隱患。Bitcoinworld The Block
Venus作為BNB Chain借貸龍頭,TVL達14.7億美元,FDV約9400萬美元,但累計壞賬超1億美元,此次事件並非閃貸攻擊,而是攻擊者蓄謀9個月積累THE代幣,通過捐贈攻擊繞過供應上限(1450萬枚THE),結合TWAP預言機延遲操縱價格,從0.27美元推高至5美元,借出CAKE、BNB等資產後崩盤清算。Chaincatcher 這反映DeFi低流動性資產風險管理頑疾:協議雖暫停THE市場並降8個市場抵押因子至0,但未根治歷史模式。
事件時間線
| 日期(UTC) | 事件 | 細節 | 來源 |
|---|---|---|---|
| 2026-03-15前後 | THE代幣攻擊啟動 | 攻擊者存入1220萬枚THE(價值240萬美元),繞過供應上限,價格從0.27美元暴漲至5美元,借出價值超500萬美元資產 | The Block |
| 2026-03-16 | Venus官方回應 | 確認供應上限漏洞,非閃貸;暫停THE借貸/提現,降BCH/LTC/AAVE等8市場抵押因子至0 | Chaincatcher |
| 2026-03-16 | Justin Sun轉移XVS | 62萬枚XVS(195萬美元)從其關聯錢包單筆轉至新地址,時隔兩年首次大額移動 | Coinness |
| 2025-03-21 | Bithumb下架觀察 | XVS因交易量低/開發活動弱等列入觀察名單,30-60天審查期 | Bitcoinworld |
時間邏輯:攻擊後Sun轉移正值協議治理敏感期(XVS持治理權),非直接拋售(無DEX大單),更像錢包重組或投票準備。但結合Venus壞賬史,此信號可能放大市場恐慌,導致XVS短期承壓。
Justin Sun XVS轉移剖析
- 交易細節:620,000 XVS,價值195萬美元,來源Sun歷史錢包,目標全新地址(零交易史),單區塊完成,Gas費正常。區塊鏈追蹤由ai_9684xtpa首報。Bitcoinworld
- 背景關聯:Sun系早期Venus支持者,此為兩年最大單筆XVS移動,正值THE攻擊後。非賣出(DEX無對應訂單),可能為:
- 治理準備:新地址配置投票,針對壞賬治理提案。
- 安全重組:標準大戶操作,避免舊錢包風險。
- 信心信號?:負面解讀為主,疊加Bithumb觀察,XVS持倉集中風險凸顯。
- 市場反應:轉移未直接引發拋售,但XVS波動率升,類似歷史鯨魚移動常預示波動(Sun過去ETH/BTC轉移多在市場轉折)。
Twitter討論零星提及Venus攻擊,但無Sun轉移熱議,表明事件影響力限於DeFi圈。X
漏洞技術細節與攻擊路徑
攻擊者非即時閃貸,而是蓄謀積累:6月起囤THE,佔Venus供應主導,繞正常存入直接“捐贈”至vTHE合約,突破1450萬上限。循環:存THE→TWAP價格滯後上漲→借CAKE/BNB/BTC→買更多THE→重複。清算時THE崩至0.24美元,壞賬118萬枚CAKE + 184萬枚THE(總215萬美元)。攻擊地址獲Tornado Cash 7400 ETH資金,可能對沖CEX永續盈利。The Block
為何反覆中招?Venus Compound分叉,捐贈攻擊已知漏洞(Code4rena審計提但團隊否認),低流動性資產(THE)TWAP易操。
歷史壞賬對比:Venus“韌性”or隱患?
Venus累計壞賬超1億美元,卻TVL穩居BNB Chain首位,靠Binance背景+社區基金兜底。但模式雷同:預言機操+低液資產。
| 事件 | 日期 | 壞賬金額 | 攻擊類型 | 來源 |
|---|---|---|---|---|
| XVS價格操 | 2021-05 | 9500萬美元 | CEX流動性操,借2000 BTC/5700 ETH | Chaincatcher |
| LUNA崩盤 | 2022-05 | 1120萬美元 | Chainlink閾值卡頓,LUNA高價抵押 | Chaincatcher |
| snBNB操 | 2023-12 | 27.4萬美元 | PancakeSwap薄流動性推高snBNB | Chaincatcher |
| wUSDM操 | 2024-02 | 71.6萬美元 | ERC-4626價格 spike | Chaincatcher |
| ZKSync捐贈 | 2025-02 | 70萬美元 | 同機制捐贈繞限 | The Block |
| THE供應上限 | 2026-03 | 215-370萬美元 | 捐贈+TWAP操 | Bitcoinworld |
洞察:壞賬年年有,協議靠國庫/治理補,但用戶信心漸蝕。XVS治理權集中(Sun等鯨魚),轉移或催化提案,但若無根治,TVL外流風險高。
市場與風險評估
| 風險因素 | 嚴重度 | 細節與影響 | |----------|--------|------------| | 安全反覆 | 高 | 累計壞賬1億刀,THE事件後暫停多市場,TVL或降10-20% | RootData via Chaincatcher | | 交易所壓力 | 中高 | Bithumb觀察名單,交易量低易下架,韓國用戶流失 | Bitcoinworld | | 鯨魚集中 | 中 | Sun轉移放大不確定,投票權易操控 | Coinness | | 競爭加劇 | 中 | BNB Chain其他借貸(如Aave)分流 | - |
數據侷限:無實時XVS價格/TVL(新聞截止2026-03-16早間),壞賬估算有差異(215萬vs370萬,依來源);無鏈上最新鯨魚數據,Twitter無深度情緒分析。事件新鮮,需監測治理提案。
展望與建議
短期:XVS承壓,觀察Bithumb審查+壞賬補救。Sun轉移若轉投票,積極信號;否則恐拋售導火索。
長期:Venus“抗打”靠Binance生態,但需升級預言機/動態上限,否則TVL霸主地位難保。投資者避低液資產暴露,優先硬件錢包+審批撤銷(如Revoke.cash)。
行動視角:觀望為主。大戶勿追高,關注Venus postmortem報告(承諾中)。DeFi用戶:檢查舊授權,優先高TVL/審計協議。此事件警示:低液THE類資產=高風險,協議參數需實時調。