慢霧:Venus 用戶 1300 萬美元被黑深度分析
背景
2025年9月2日,社區(qū)用戶@KuanSun1990遭遇攻擊,其在Venus協(xié)議上的多個頭寸被轉移,損失約1300萬美元。慢霧(SlowMist)自主研發(fā)的Web3威脅情報與動態(tài)安全監(jiān)控工具MistEye成功捕獲該異常,并協(xié)助用戶進行分析。以下為具體分析詳情。
那么攻擊者是如何修改瀏覽器擴展錢包的代碼呢?
我們知道 Chrome有一套安全機制,如果是從Chrome商城上下載的擴展,只要代碼被修改,瀏覽器就會提示擴展已損壞且無法使用;此外,這種完整性檢查無法被關閉。
因此,我們一度懷疑攻擊者可能不是修改某知名官方瀏覽器擴展錢包的代碼,而是采用了其他的攻擊方式。由于受害者電腦中許多攻擊痕跡已被清理,真相難以完全還原。然而,通過深入研究并與威脅情報網(wǎng)絡的合作伙伴溝通,我們確認攻擊者用于篡改交易的瀏覽器擴展 ID與官方擴展ID一致。
于是,我們開始研究如何實現(xiàn)瀏覽器擴展 ID與官方保持一致,同時允許代碼被修改:
在瀏覽器擴展頁面開啟開發(fā)者模式的情況下,可以將官方原版擴展文件額外復制一份,然后導入瀏覽器,即可得到一個既可修改代碼又與官方擴展 ID一致的新擴展。這是因為Chrome根據(jù)manifest.json文件的key來生成擴展ID。只要確保擴展中的manifest.json文件的key與官方相同(相同的key是讓擴展擁有相同ID的關鍵),就可以在該新擴展中(ID與官方一致)任意修改代碼而不會觸發(fā)完整性檢查。
通過 PatchChrome關于瀏覽器擴展內(nèi)容驗證的函數(shù),可以全局關閉擴展的內(nèi)容完整性檢查。當然,在macOS上,這部分操作需要重新簽名才能確保程序可用。
以上是我們研究出的兩種可能攻擊方式。目前沒有更多明確信息來佐證,因此上述方法僅代表慢霧安全團隊內(nèi)部的研究和推測,并不意味著攻擊者實際使用了該手法。
在攻擊正式開始前,攻擊者于 9月1日使用自有資金籌集了約21.18個BTCB與205,000個XRP,為接管受害用戶在Venus的頭寸做好準備。
(https://bscscan.com/tx/0x75eee705a234bf047050140197aeb9616418435688cfed4d072be75fcb9be0e2)
受害用戶完成委托后,攻擊者立即發(fā)起攻擊,通過 Lista閃電貸借入約285個BTCB,并動用其自有的21.18個BTCB與205,000個XRP。隨后,攻擊者為受害用戶在Venus上歸還了約306.89個BTCB與152,673.96個XRP的貸款。
(https://bscscan.com/tx/0xe4a66f370ef2bc098d5f6bf2a532179eea400e00e4be8ea5654fa9e8aeee65bf#eventlog)
這一措施阻斷了攻擊者進一步操作其頭寸以獲取利潤。隨后,Venus團隊發(fā)起了緊急提案投票,以在確保協(xié)議安全恢復的同時,盡力追回用戶被盜資金。
此次事件是一場精心策劃的網(wǎng)絡釣魚攻擊。攻擊者通過惡意 Zoom客戶端控制用戶設備,并利用Chrome開發(fā)者模式的特性篡改錢包擴展,巧妙地將用戶的資產(chǎn)贖回操作替換為頭寸委托操作,手法極其精密。幸運的是,Venus團隊展現(xiàn)了出色的應急響應能力,通過多方協(xié)作與快速響應,最終幫助用戶化險為夷,避免了可能造成的巨大損失。