Venus协议遭攻击事件深度解析：价格操纵与清算机制失效

核心提要：Venus协议因Thena代币流动性池异常交易暂停借贷与提款功能，攻击者通过操纵预言机抬高价格并实施捐赠攻击，导致约215万美元坏账。尽管清算机制最终终止攻击，但暴露了低流动性资产在DeFi中的安全风险。事件反映当前去中心化金融平台面临的价格操纵与协议设计漏洞挑战。

Venus协议为何暂停THA相关功能？

Venus协议在监测到Thena代币（THE）资金池出现可疑交易活动后，立即采取预防性措施，暂停所有与THE相关的借贷及提款操作。该决定是在持续调查期间为保护用户资产而实施的临时举措。受影响范围包括与THE及PancakeSwap平台CAKE代币关联的资金池，其他低流动性市场亦被临时限制。数据显示，事件发生时THE价格约为0.225美元，24小时内跌幅超过17%。

攻击者如何操控价格预言机？

链上分析揭示，攻击者利用THE代币流动性薄弱的特点，通过大量买入推高其市场价格。随后，以虚高的抵押价值在Venus协议中借出多种资产，包括CAKE、USDC、BNB和比特币。随着价格不断上升，时间加权平均价格预言机同步上调估值，形成正向反馈循环。在此过程中，攻击者将所借资金回流至公开市场继续购买THE，进一步加剧价格泡沫。数据显示，短期内THE价格曾从0.27美元飙升至接近5美元。 为突破协议对THE供应量的上限限制，攻击者采用“捐赠攻击”策略——绕过常规铸造流程，直接将THE转入vTHE合约，从而人为抬高协议认定的兑换率，规避风险敞口控制机制。

清算机制如何终结操纵行为？

当市场抛压超过人为支撑的价格水平时，攻击者的抵押率迅速恶化。健康系数触及协议设定的清算阈值后，系统自动触发强制清算程序。由于缺乏足够流动性承接抛售，THE价格快速回落至约0.24美元，低于攻击前水平。 链上观察者指出，攻击钱包在清算完成后几乎未获得实际收益。研究员李伟林表示：“根据链上数据，该地址在借贷循环中几乎无净所得。”他补充认为，攻击者可能借助链外衍生品头寸，在代币价格下跌中实现间接获利。

此次攻击造成多大损失？

区块链分析师估算，本次事件导致Venus协议产生约215万美元坏账，主要来自清算后仍无法覆盖的CAKE与THE计价贷款。攻击钱包资金来源疑似通过加密货币混币服务进行匿名化处理，调查发现其在攻击前接收了数千枚ETH。整个攻击周期峰值涉及超500万美元的资产借贷，但强制清算有效控制了最终赤字规模，使损失处于协议可承受范围内。

DeFi借贷攻击呈现何种模式化特征？

此次事件是Venus协议自上线以来遭遇的又一典型攻击案例。此前2021年曾因XVS代币价格操纵造成逾9500万美元坏账；在Terra生态崩塌及2022年BNB链跨桥攻击期间也接连出现损失。近期2025年初，ZKSync链上同样发生基于捐赠攻击的类似事件，导致超70万美元坏账。 安全研究人员早前已在Compound类协议审计中预警过捐赠攻击路径。尽管存在警示，此类机制在部分部署中仍被视为功能支持。最新攻击表明，当此类设计与低流动性代币结合时，极易成为价格操纵的突破口。

DeFi生态面临的安全威胁持续升级

Venus事件发生之际，加密领域仍同时面临代码漏洞与社会工程攻击双重压力。尽管2月加密相关损失降至约4900万美元，为近一年最低水平，但分析师提醒，攻击者正逐步转向针对个人用户的钓鱼活动与恶意交易签名。多个虚假网站冒充合法服务，诱导用户签署泄露私钥或授予代币使用权限的交易，构成新型风险。 区块链情报机构报告指出，近期多起事件均涉及仿冒平台，受害者在不知情下授权攻击者访问其资产，凸显用户端安全防护的重要性。