去中心化金融(DeFi)世界再次敲响警钟。知名借贷协议Venus Protocol(XVS)近期遭遇了一次精心策划的攻击,导致巨额资金损失。与以往常见的智能合约漏洞利用不同,此次事件的攻击手法更为隐蔽和复杂,它并非直接攻破代码,而是巧妙地利用了协议的经济模型与外部预言机机制的固有缺陷,上演了一场教科书式的“价格操纵攻击”。
这起事件的核心,在于攻击者对低流动性资产的精准狙击。
攻击的起点,是一个名为THE的低流动性代币。攻击者首先在Venus Protocol上抵押了相当数量的THE,并以此为担保,借出了USDT、BNB等高流动性的主流资产。这一步操作本身在DeFi借贷中十分常见,但真正的杀招紧随其后。
攻击者利用借出的资金,在去中心化交易所(DEX)中持续买入THE。由于THE的市场流动性极低,这笔购买行为如同向一潭静水中投入巨石,迅速且显著地推高了其市场价格。这正是攻击者计划的关键一环:以相对较小的成本,实现对资产价格的剧烈操控。
DeFi协议依赖“预言机”来获取链下资产的实时价格,以计算用户的抵押物价值和借贷额度。然而,为了防止单一交易对价格的瞬时冲击,许多预言机采用时间加权平均价格(TWAP)等机制,这导致价格更新存在一定的延迟。攻击者正是精准地抓住了这个时间窗口。
当预言机逐步采纳了被恶意拉高的THE价格后,Venus协议的风控系统会误以为攻击者抵押的THE价值大增。于是,协议自动为攻击者释放了更高的借贷额度。攻击者随即用新借出的资金,再次冲入市场买入THE,进一步推高价格,然后等待预言机再次更新……
这个“抵押-借贷-买入-拉价-再借贷”的循环如同一个死亡螺旋,不断自我强化。通过这一系列操作,攻击者成功将THE的价格推高至一个极其荒谬的水平(据称链上最高达5美元),并从协议中套取了大量远超其初始抵押物真实价值的资金。
此次事件深刻揭示了DeFi生态中两个不容忽视的风险点:
首先,接纳低流动性资产作为抵押品本身就蕴含着巨大风险。这类资产极易被少量资金操纵,为攻击者提供了可乘之机。协议在上线新抵押资产时,必须进行更为严格和全面的流动性及抗操纵性评估。
其次,预言机机制的固有缺陷是此类攻击得以成功的土壤。依赖有时间延迟的价格反馈,使得协议在面对闪电般快速的市场操纵时显得反应迟钝。如何设计更实时、更抗攻击的预言机方案,是摆在所有DeFi协议面前的共同课题。
与之前因用户私钥泄露或钓鱼攻击导致的安全事件不同,这次攻击更像是一次“合法”的掠夺。它没有利用任何代码漏洞,而是在协议规则允许的框架内,通过经济手段实现了对其他用户资产的侵占。
这起事件再次为整个DeFi行业敲响了警钟:在追求创新和高收益的同时,对底层经济模型、风险参数和外部依赖(如预言机)的审视必须更加审慎。对于用户而言,这也提醒我们,在参与DeFi借贷时,不仅要关注协议本身的技术安全性,更要警惕其支持的抵押资产类型及相关的系统性风险。在去中心化的世界里,风险与机遇始终并存。$THE
