慢雾:Venus 用户 1300 万美元被黑深度分析
背景
2025年9月2日,社区用户@KuanSun1990遭遇攻击,其在Venus协议上的多个头寸被转移,损失约1300万美元。慢雾(SlowMist)自主研发的Web3威胁情报与动态安全监控工具MistEye成功捕获该异常,并协助用户进行分析。以下为具体分析详情。
那么攻击者是如何修改浏览器扩展钱包的代码呢?
我们知道 Chrome有一套安全机制,如果是从Chrome商城上下载的扩展,只要代码被修改,浏览器就会提示扩展已损坏且无法使用;此外,这种完整性检查无法被关闭。
因此,我们一度怀疑攻击者可能不是修改某知名官方浏览器扩展钱包的代码,而是采用了其他的攻击方式。由于受害者电脑中许多攻击痕迹已被清理,真相难以完全还原。然而,通过深入研究并与威胁情报网络的合作伙伴沟通,我们确认攻击者用于篡改交易的浏览器扩展 ID与官方扩展ID一致。
于是,我们开始研究如何实现浏览器扩展 ID与官方保持一致,同时允许代码被修改:
在浏览器扩展页面开启开发者模式的情况下,可以将官方原版扩展文件额外复制一份,然后导入浏览器,即可得到一个既可修改代码又与官方扩展 ID一致的新扩展。这是因为Chrome根据manifest.json文件的key来生成扩展ID。只要确保扩展中的manifest.json文件的key与官方相同(相同的key是让扩展拥有相同ID的关键),就可以在该新扩展中(ID与官方一致)任意修改代码而不会触发完整性检查。
通过 PatchChrome关于浏览器扩展内容验证的函数,可以全局关闭扩展的内容完整性检查。当然,在macOS上,这部分操作需要重新签名才能确保程序可用。
以上是我们研究出的两种可能攻击方式。目前没有更多明确信息来佐证,因此上述方法仅代表慢雾安全团队内部的研究和推测,并不意味着攻击者实际使用了该手法。
在攻击正式开始前,攻击者于 9月1日使用自有资金筹集了约21.18个BTCB与205,000个XRP,为接管受害用户在Venus的头寸做好准备。
(https://bscscan.com/tx/0x75eee705a234bf047050140197aeb9616418435688cfed4d072be75fcb9be0e2)
受害用户完成委托后,攻击者立即发起攻击,通过 Lista闪电贷借入约285个BTCB,并动用其自有的21.18个BTCB与205,000个XRP。随后,攻击者为受害用户在Venus上归还了约306.89个BTCB与152,673.96个XRP的贷款。
(https://bscscan.com/tx/0xe4a66f370ef2bc098d5f6bf2a532179eea400e00e4be8ea5654fa9e8aeee65bf#eventlog)
这一措施阻断了攻击者进一步操作其头寸以获取利润。随后,Venus团队发起了紧急提案投票,以在确保协议安全恢复的同时,尽力追回用户被盗资金。
此次事件是一场精心策划的网络钓鱼攻击。攻击者通过恶意 Zoom客户端控制用户设备,并利用Chrome开发者模式的特性篡改钱包扩展,巧妙地将用户的资产赎回操作替换为头寸委托操作,手法极其精密。幸运的是,Venus团队展现了出色的应急响应能力,通过多方协作与快速响应,最终帮助用户化险为夷,避免了可能造成的巨大损失。