前言
9月2日,Venus协议的一名巨鲸用户遭遇网络钓鱼攻击,黑客获得了该用户的借贷和赎回权限,导致其价值约1300万美元的资产面临风险。然而,由于被盗资产仍保留在Venus协议内,Venus团队的快速响应和行动,被盗资金被成功追回,而黑客反而损失了270万美元。
1、网络钓鱼攻击过程
受害者(@KuanSun1990)通过一个被盗用的Telegram账户收到邀请,点击伪造的Zoom链接加入会议。受害者点击该钓鱼链接后,黑客获得其电脑控制权限,并促使受害者提交一笔交易,将攻击者批准为合法委托对象。
(https://x.com/KuanSun1990/status/1963568732917113141)
2、链上攻击过程
攻击者首先闪电贷借出285 $BTC,结合自有资金21 $BTC和15.2万 $XRP,还清了受害者原有的306 $BTC和15.2万 $XRP债务。
交易哈希:
0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286
由于此前已获得授权,黑客以受害者身份赎回并借入资产。
随后将盗取的资产再次存入Venus协议。
为归还285 $BTC的闪电贷,黑客又从Venus协议借出285 $BTC。
此笔交易后,黑客的抵押资产与债务情况如下:
抵押物:1980万 $USDT、3744 $WBETH、715万 $USDC、31.1万 $FDUSD,总价值4330万美元。
债务:285 $BTC,价值3130万美元。 黑客的抵押物价值4330万美元,债务为3130万美元,其在Venus协议内净值为1200万美元。
3、Venus团队追回资产
事件发生后,Venus团队迅速暂停协议,启动并通过紧急投票,对黑客头寸进行强制清算,最终成功收回被盗资金。
Venus如何通过清算追回资产?
在紧急暂停协议后,Venus团队通过临时提高 B T C 价格,使黑客债务超过抵押资产价值,进而清算其头寸。关键步骤包括:临时提高 BTC 价格,使黑客债务超过抵押资产价值,进而清算其头寸。关键步骤包括: 临时提高 BTC价格,使黑客债务超过抵押资产价值,进而清算其头寸。关键步骤包括:临时提高BTC价格,清算黑客头寸,恢复$BTC价格.
交易哈希:
0xee9928b8d1a212f4d7b7e9dca97598394005a7b8fef56856e52351bc7921be43
通过将 $BTCB 价格提高至极大值——1000000000000000000000000000000——使得黑客债务价值超过抵押物,使得其抵押资产(即被盗资产)可被清算,最终实现资产追回。
如前所述,由于黑客在攻击中使用了自有的21 $BTC和15.2万 $XRP,价值270万美元。清算后,这部分自有资产也归零。
题外话
黑客&网络安全如何学习
如果你也对网路安全技术感兴趣,但是又没有合适的学习资源,我可以把私藏的网安学习资料免费共享给你们,来看看有哪些东西。
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,100多本网安电子书,最新学习路线图和工具安装包都有,不用担心学不全。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
