接下来就是执行 DeFi 历史上最具争议的清算行动——一次需要绕过智能合约规则,强行夺取攻击者抵押品的操作。
受害者因为一次错误的交易签名陷入危机,而 Venus 即将签下“民主的死亡证书”。
当“代码即法律”遇上紧急权限时,会发生什么?
复苏行动UTC 时间 21:36 。在盗窃发生十二小时后,Venus执行了他们的反击行动。
还记得攻击者因贪婪而犯下的错误吗?用盗取的资金作为抵押品即将成为史上最昂贵的失误。
一笔交易,多个指令,引发最大争议。
清算:启动。资产扣押:完成。清算:关闭。
Venus 刚刚对一条正在运行的区块链进行了手术。启动终止开关,抓取所有未锁定的资产,并销毁所有证据。
攻击者的“杰作”最终成了自己的死刑判决。那些被盗的抵押品安然躺在 Venus 的资金池里?
突然间,该协议新启动的“紧急清算”权力就成了公平的游戏。
贪婪是一剂毒药。盗取数百万,用作抵押,然后被自己的盗取资金清算。
UTC 时间 21:58。灯光恢复。资金追回。危机解除。
但没人再谈价值 1300 万美元的损失。人们讨论的是 Venus 在这 12 小时内如何证明“去中心化”不过是一个营销口号。
事实证明,你不可阻挡的 DeFi 协议有一个非常可阻挡的紧急制动器——而且当代价够高时,他们毫不犹豫地使用它。
当革命需要一位国王来维持时,究竟是谁在被推翻?
受害者发声“尽管可能被认为是傻瓜,但保持沉默总比开口说话消除所有疑虑要好。”
这是 Eureka Crypto 创始人,这次1300万美元盗窃案的受害者孙宽 Kuan Sun 的 Twitter 简介。
说到“愚蠢”,他发布了一篇详细的回顾文章,解释自己究竟是如何被欺骗的。
Venus Protocol 也确认了他是遭受钓鱼攻击的人。
这种社会工程手段十分邪恶。
攻击者从今年四月就开始布局,他们入侵了孙宽在香港会议上认识的一位“Stack Asia BD”联系人。
几个月的耐心铺垫,通过熟悉但又不过分亲密的关系逐步建立信任。恶意的 Zoom 客户端早已为攻击者提供了他的设备访问权限。
在虚假会议期间:“您的麦克风无法使用,请升级。”这是另一个层层递进的骗局,掩护攻击者在后台进行操作。
随后,Chrome浏览器意外崩溃。“恢复标签页?”点击。
不知何故,他信任的 Rabby 钱包扩展程序被替换成了一个假版本,删除了所有安全警告。
Venus 提款,就像他以前做过数千次一样。
但这一次,没有风险警告,没有交易模拟预览,没有安全检查。被攻陷的前端将一次授权操作伪装成了普通交易。