BNB Chain借贷协议Venus Protocol遭黑客精心策划攻击 操控代币THE价格后引爆连环清算

币圈子(120BTC.COm)讯：3月16日，BNB Chain头部借贷协议Venus Protocol遭到一场预谋长达9个月的精密攻击。黑客透过TornadoCash取得资金后，操控低流动性的THE(Thena原生代币)价格，触发连环清算，造成协议215万美元坏帐，黑客本人则提取约507万美元资产离场，真实获利预计更高。

攻击时间轴：9个月潜伏、40分钟收割

一个从Tornado Cash收到7,447枚ETH(约1,629万美元)的钱包地址「0x7a7」，已被链上研究人员锁定为幕后黑手。

攻击分两阶段进行：

• 长线潜伏(2025年6月起)：攻击者透过正常存款流程，缓慢在Venus累积THE代币，最终持有协议供应上限的84%(约1,220万枚)。

• 当日引爆(约40分钟)：攻击者以ETH作为Aave抵押品，借入992万美元稳定币，在中心化交易所大量囤积THE，疑似拉升现货价格；同时直接将3,610万枚THE转入协议合约，瞬间推高链上供应量。

接着启动递回回圈：存入THE→借出其他资产→用借出资产在链上继续买入THE→等待TWAP预言机延迟更新、价格被动拉高→重复。

THE现货价格在此过程中从$0.263飙升至$0.563，涨幅逾一倍。约40分钟后价格崩盘至$0.22，触发连环清算。

战果：507万美元提取，215万美元坏帐

攻击者最终借出并提取：

• 2,172枚BNB

• 151,600枚CAKE

• 20枚BTC

Venus因此承受的坏帐组成为约118万枚CAKE与184万枚THE，合计约215万美元。链上研究人员指出，攻击者在中心化交易所的THE空头部位可能带来额外收益，真实获利或远高于链上提取数字。

此次攻击手法属于已知的「supply cap donation attack」——，这是一种绕过Compound-fork协议供应上限的已知漏洞，Venus作为Compound分支本身即存在此攻击面。

Venus紧急应对：7个市场抵押因子归零

「Venus始终致力于透明度，调查结束后将发布完整报告。」

Venus官方表示，除先前已暂停THE借款与提取外，目前已将以下7个市场的抵押因子(Collateral Factor)降至0，预防措施针对单一使用者持有抵押品比例过高的市场：

• BCH、LTC、UNI、AAVE、FIL、TWT、lisUSD

协议强调，上述7个市场以外的所有市场均未受影响，继续正常营运。完整事后报告将于调查结束后公布。

此次事件再次暴露DeFi借贷协议在低流动性代币与TWAP预言机延迟组合下的结构性风险——当攻击者有足够时间和资金缓慢建仓，传统的供应上限防护机制形同虚设。