Krypto kaufen
Bezahlen mit
USD
USD
Buy & Sell
Hot
Supports Visa, Mastercard, SEPA & more
P2P
0 Fees
Flexible trading, zero fees
Gate Card
Use your crypto for payments worldwide
Märkte
Handeln
Basic
Advanced
Futures
Futures
Access hundreds of perpetual contracts
CFD
Gold
One platform for global traditional assets
Options
Hot
Mit Vanilla-Optionen im europäischen Stil handeln
Einheitliches Konto
Maximieren Sie Ihre Kapitaleffizienz
Demo-Handel
Einführung in den Futures-Handel
Bereiten Sie sich auf Ihren Futures-Handel vor
Futures Events
Join events to earn rewards
Demo-Handel
Nutzen Sie virtuelle Gelder um risikofreien Handel zu erleben
Verdienen
Launch
CandyDrop
Sammle Süßigkeiten, um Airdrops zu erhalten
Launchpool
Schnelles Staking, verdienen Sie potenziell neue Token
HODLer Airdrop
Halten Sie GT und erhalten Sie kostenlos massive Airdrops
Pre-IPOs
Unlock full access to global stock IPOs
Alpha Points
Trade on-chain assets and earn airdrops
Punti Futures
Guadagna punti Futures e richiedi le ricompene dell'airdrop
Investition
Momente
Square
Post, share, and explore crypto trends
Live
moments live
Live-Krypto-Marktanalyse
Chat
Mit Krypto-Tradern chatten
Neues aus
Aktuelles aus dem Krypto-Bereich
flower_head
Mehr
Werbeaktionen
AI
Andere
TradFi
WCTC S8
Belohnungs

Venus Protocol wurde durch einen Angriff auf die Obergrenze der Versorgung getroffen und verlor 3,7 Millionen US-Dollar

MarketWhisper
Security IncidentsOn-Chain Data
THE-0,91%
CAKE1,95%
BNB1,37%

Venus Protocol遭攻擊

Dezentralisierte Kreditplattform Venus Protocol gab am Sonntag bekannt, dass im Kernpool ungewöhnliche Transaktionsaktivitäten im Zusammenhang mit dem Thena (THE)-Token-Fonds entdeckt wurden. Laut der neuesten Untersuchung von Venus’ Risikomanagement-Partner Allez Labs handelt es sich bei diesem Vorfall um einen sorgfältig geplanten Manipulationsangriff auf die Versorgungslimit-Mechanismen, der von der Planung bis zur Ausführung etwa neun Monate dauerte und letztlich einen Schaden von über 3,7 Millionen US-Dollar verursachte.

Analyse des gesamten Angriffsprozesses: Vier sorgfältig geplante Phasen

Die Untersuchung von Allez Labs offenbart die vollständige Funktionsweise des Angriffs, der in vier entscheidende Phasen unterteilt ist:

Erste Phase: Langsame Ansammlung des Tokens über neun Monate
Seit Juni 2025 sammelte der Angreifer schrittweise THE-Token an, bis er schließlich 84 % des Versorgungslimits erreichte, etwa 14,5 Millionen Token. Diese langsame Strategie verhinderte, dass das Plattform-Risikoüberwachungssystem Alarm schlug.

Zweite Phase: Direkte Überweisung zur Umgehung des Versorgungslimits
Der Angreifer vermied den normalen Einzahlungsprozess und transferierte die Token direkt in den Vertrags- smart contract, wodurch das Versorgungslimit vollständig umgangen wurde. Am Ende wurde eine Position von 53,2 Millionen THE aufgebaut, das entspricht dem 3,67-fachen des Versorgungslimits.

Dritte Phase: Manipulation des TWAP-Orakels
Durch die Ausnutzung der strukturellen Schwäche des THE-Token mit extrem geringer Liquidität auf der Blockchain manipulierte der Angreifer das TWAP (zeitgewichteter Durchschnittspreis)-Orakel durch rekursive Operationen und trieb den THE-Preis von etwa 0,27 USD auf rund 0,53 USD in die Höhe.

Vierte Phase: Überhöhte Sicherheiten und groß angelegte Kreditaufnahme
Aufgrund der künstlich erhöhten Bewertung der Sicherheiten nutzte der Angreifer 53,2 Millionen THE als Sicherheit, um verschiedene hochliquide Vermögenswerte zu leihen.

Details der gestohlenen Vermögenswerte und die Sofortmaßnahmen der Plattform

Die vom Angreifer während des Höhepunkts geliehenen Vermögenswerte:

  • 6.670.000 CAKE (PancakeSwap-Token)
  • 2.801 BNB (Binance Coin)
  • 1.970 WBNB
  • 1.580.000 USDC
  • 20 BTCB (tokenisierte Bitcoin)

Venus Protocol hat sofort alle Kredit- und Abhebungsfunktionen für THE-Token ausgesetzt. Zudem wurden präventiv die Kredit- und Abhebungsfunktionen in hochkonzentrierten Liquiditätsmärkten wie BCH, LTC, UNI, AAVE, FIL und TWT pausiert. Andere Märkte laufen weiterhin normal.

Lehren aus der Sicherheitslücke: Systemische Schwachstellen bei Token mit geringer Liquidität

Der Angriff auf Venus Protocol zeigt mehrere systemische Risiken in DeFi-Kreditprotokollen auf:

  • TWAP-Orakel bei Token mit niedriger Liquidität sind anfällig für Preismanipulationen durch kleine Operationen.
  • Das Versorgungslimit ist nur dann sicher, wenn es gegen direkte Vertragsüberweisungen geschützt ist; andernfalls besteht eine technische Schwachstelle.
  • Die neunmonatige langsame Ansammlung offenbart auch potenzielle Schwachstellen bei der Überwachung langfristiger Positionen.

Häufig gestellte Fragen

Was ist der „Supply Limit Attack“ bei Venus Protocol?
Das Versorgungslimit ist eine Sicherheitsfunktion, die die maximale Menge eines einzelnen Vermögenswerts als Sicherheit erlaubt. Bei diesem Angriff wurde das Limit durch direkte Überweisung in den Vertrag umgangen, wodurch die Position auf das 3,67-fache des Limits anwuchs. Durch die Manipulation des Orakels wurde der Wert der Sicherheiten künstlich erhöht, sodass mehr Vermögenswerte ausgeliehen werden konnten, als eigentlich zulässig.

Warum konnte der Angriff so lange unentdeckt bleiben?
Der Angreifer nutzte eine „Low and Slow“-Strategie, bei der er die Positionen über neun Monate langsam aufbaute, um keine Warnsignale auszulösen. Erst bei Erreichen von 84 % des Versorgungslimits wurde der Angriff ausgeführt. Diese Methode umgeht typische Schwellenwert-Überwachungen und zeigt, dass das Protokoll eine feinere Überwachung langfristiger Verhaltensweisen benötigt.

Welche Sofortmaßnahmen hat Venus Protocol ergriffen?
Venus Protocol hat sofort alle Kredit- und Abhebungsfunktionen für THE-Token gestoppt und präventiv die Funktionen in den Märkten mit hoher Liquiditätskonzentration (BCH, LTC, UNI, AAVE, FIL, TWT) ausgesetzt. Andere Märkte laufen weiterhin normal. Allez Labs und die Sicherheitspartner arbeiten an der Untersuchung und halten die Öffentlichkeit auf dem Laufenden.

Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to Disclaimer.

Verwandte Artikel

1inch-Liquiditätsanbieter TrustedVolumes unter Angriff auf Ethereum, 5,87 Mio. US-Dollar gestohlen

ethereum newsSecurity Incidents

Laut Blockaid steht der 1inch Market Maker und Resolver TrustedVolumes am 7. Mai auf Ethereum unter Angriff. Die Schwachstelle wurde in Blockaids Sicherheitsüberwachungssystem in einem benutzerdefinierten RFQ-Trading-Agent-Vertrags entdeckt, der von TrustedVolumes kontrolliert wird. Angreifer haben extrahiert

GateNews1Std her

Projekt Eleven warnt: 6,9 Millionen BTC stehen einer Quantenbedrohung gegenüber, Q-Day frühestens im Jahr 2030

bitcoin newsSecurity Incidents

Im Bereich der Post-Quanten-Sicherheit hat das Newcomer-Unternehmen Project Eleven am 6. Mai einen Bericht veröffentlicht, in dem es davor warnt, dass der quantenbasierte Durchbruch zum sogenannten Q-Day, also die kritische Schwelle, an der moderne Kryptotechniken unsicher werden, frühestens bereits im Jahr 2030 eintreffen könnte und die Wahrscheinlichkeit, dass er bis 2033 eintritt, bei über 50% liegt. Der Bericht schätzt außerdem, dass unter bestimmten Bedingungen rund 6,9 Millionen Bitcoin potenziellen Risiken durch Quantenangriffe ausgesetzt sind, und fordert den Krypto-Ökosystem auf, den Prozess der Anti-Quanten-Migration zu beschleunigen.

MarketWhisper1Std her

Project Eleven warnt, dass Q-Day schon so früh wie 2030 eintreffen könnte

bitcoin newsSecurity Incidents

Projekt Eleven veröffentlichte am Mittwoch einen Bericht, in dem vorgeschlagen wird, dass der Wendepunkt von Quantencomputern, die moderne Verschlüsselung brechen, oft als „Q-Day“ bezeichnet, bereits ab 2030 eintreten könnte, wobei ein Durchbruch bis 2033 als „mehr wahrscheinlich als nicht“ beschrieben wurde. Das auf Post-Quanten-Sicherit ausgerichtete Startup

CryptoFrontier2Std her

NYSE-Tokenisierungspartner warnen vor Risiken synthetischer Aktien-Token

Regulation & PolicySecurity IncidentsStocks

Partner für die Tokenisierung an der NYSE haben eine Warnung herausgegeben, dass synthetische Aktien-Token durch falsche Darstellung der zugrunde liegenden Aktien und die nicht autorisierte Nutzung von Firmennamen Privatanleger irreführen könnten, wie aus der Warnung hervorgeht. Bedenken hinsichtlich Offshore-synthetischer Token Die Partner identifizierten drei zentrale Risiken

CryptoFrontier6Std her

Projekt Eleven warnt: Q-Day könnte bereits ab 2030 eintreffen – mit 6,9 Millionen Bitcoin im Risiko

bitcoin newsSecurity Incidents

Laut dem Wochenbericht von Project Eleven könnten Quantencomputer die moderne Verschlüsselung bereits ab 2030 brechen. Das Startup schätzt, dass unter bestimmten Bedingungen 6,9 Millionen Bitcoins im Wert von mehr als 560 Milliarden US-Dollar einem Quantenrisiko ausgesetzt sein könnten. Das auf post-quantensichere Sicherheit fokussierte Startup

GateNews8Std her

Ekubo Protocol um 1,4 Millionen US-Dollar in WBTC durch einen zustimmungsbasierten Exploit geplündert

Security Incidents

Laut der Blockchain-Sicherheitsfirma Blockaid verlor das Ekubo Protocol kürzlich ungefähr 1,4 Millionen US-Dollar in Wrapped Bitcoin (WBTC), nachdem Angreifer eine Schwachstelle in der Zugriffskontrolle in seinen EVM-Swap-Router-Verträgen ausgenutzt hatten. Die Angreifer umgingen Mechanismen zur Zahlungsüberprüfung, um Gelder aus Wallets abzuziehen

GateNews12Std her
Kommentieren
0/400
Keine Kommentare