Venus Protocol 作为BNB Chain 上最大的借贷协议，在3 月15 日时遭遇严重的供应上限捐赠攻击，导致该协议出现约215 万美元的坏帐，并被提取走价值超过507 万美元的资产。

埋伏已久的攻击行动

本次的攻击与常见的闪电贷突击不同之处在于，这次针对Venus 协议的攻击显然是布局已久。

根据链上数据追踪可以发现，攻击者早在2025 年6 月就已经开始为这场攻击铺路，在长达九个月的时间里，攻击者并未表现出任何异常，而是透过数个钱包地址，以极其缓慢且自然的节奏在Venus 协议中存入THE 代币。

利用长时间看似正常行为的操作成功避开多数安全预警系统的侦测，并在成功控制THE 代币的协议设定上限84％ 后开始进行最终的攻击行为。

为什么选择THE 代币？

讲解为什么选择THE 代币前，首先要先了解攻击者是透过什么机制进行攻击的。

供应上限捐赠攻击

在Venus 这类型的DeFi 协议中，当用户透过正规的mint 函数存入资产时，合约会触发一个检查机制：判断当前供应量加上新存入数量是否会超过设定上限，万一超过，那交易就会被中止，以此来避免单一币种资产过度膨胀，进而掏空协议的国库。

而攻击者巧妙地利用捐赠的方式避免Venus 触发供应上限保护机制。在本次事件中，攻击者利用ERC－20 代币的transfer 功能，直接将大量THE 代币转入Venus 协议中对应的vToken 合约地址，由于转帐进入的地址是vToken 而非THE 原先地址，因此并未触发上限保护。

THE 代币的特质

THE 能够在Venus 内的Cor​​e Pool 上线代表着它有一定的交易深度，而Core Pool 池的特性就是允许持有THE 代币的投资者借出BTC、BNB 等高流动性资产。

不过虽然THE 被归类在Core Pool，但它的市值与流动性仍属于中小型量级，攻击者仅需要千万美元的资金就有机会操纵THE 价格并以此为攻击点进行价格操纵。

跨平台的组合拳

翻看这场恶意攻击会发现，攻击者并未在Venus 协议上赚取大量金钱，因此推测获利的主要来源除了THE 借出的BTC、BNB 外，应该还有在CEX 进行的衍生品交易获利。

链上与链下的双向挤压

攻击者首先利用THE 市值较小、代币流动性较差的特性，在CEX 内大量购买THE 代币，并在短时间内将代币价格由原先的0.26 美元推升至0.56 美元，涨幅超过100％。

随后攻击者就将这些代币利用供应上限捐赠攻击的手段，避开Venus 的防护机制，并在THE 价格高点时抵押换取BTC、BNB 进行套现。

CEX 合约收割

对比攻击过程中造成的价格波动，很难不将获利来源指向CEX 内的衍生品交易，THE 代币在当下出现大幅度的上下插针，很有可能就是攻击者所致。

无论是攻击者购买THE 的拉升环节，还是最后利用借出BTC、BNB 导致THE 清算、暴跌的时刻，攻击者都有充足的时间进行开仓，并借此再赚取价差所获得的利润。

结语

对Venus 而言，这是一场无法阻挡的灾难，不仅遭恶意攻击导致部分Core Pool 池无法使用，更产生大量坏帐，对于DeFi 市场而言，这更是一次惨痛的教训，不过相信经历这次攻击后，更多协议将采取更为安全的防护措施，以免用户资金出现不可挽回的损失。

本文链接地址：https://www.wwsww.cn/DeFi/38039.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。