撰文:鏈上觀
延展思考下 Venus Protocol 被攻擊的邏輯可能性:
1)安全專家都說是大戶被釣魚了,常規理解拿了私鑰直接提款就好了怎麼會有閃電貸?
大概率是黑客通過社工獲得了 updateDelegate 授權,拿到了大戶的帳戶操作權限,卻沒有即時的流動性可以撤出,通俗說就是拿了權限但是大戶只是有抵押品在,借出的錢又不在,黑客得想辦法拿到大戶的抵押品才行;
2)是不是大戶個人被釣魚的問題,就跟 Venus 合約沒關係了?前邊說了,如果黑客發現大戶帳上沒流動性,正常情況下應該是白忙一場。但爲啥通過簡單的閃電貸攻擊就又能撤出抵押品呢?答案就是 Venus 的合約機制了,黑客可能通過閃電貸以及一系列的 vToken 跨平台機制的匯率差,幫大戶還了錢拿出了抵押品,還多拿出來一部分。
簡單來說,是大戶的抵押品被盜了沒錯,但是大概率會成爲 Venus 合約平台的壞帳,除非大戶傻到還要給平台還錢吧。
3)其他用戶的資金暫時安全,但 Venus 平台的責任問題可不小。雖然本次攻擊的觸發條件是大戶被社工釣魚在先,但終究還是獲利成功了,被盜的 $3,000 萬也大概率會成爲 Venus 平台的壞帳,加上臨時恐慌的擠兌效應,其影響夠 Venus 喝一壺的。
但更大的影響在於,這事掀起了大家對於 Venus 「習慣性被攻擊」的可怕回憶,XVS 價格被操縱事件,被淪爲 BNB 的跨鏈橋洗錢工具等,都是 Venus 安全工程根本性缺陷造成的傷害影響。作爲 BSC 上最大的借貸協議,如此這般恐怕說不過去。 Note: 以上內容是根據目前披露信息的正常邏輯推測,具體以實際披露的細節爲主。
