作者：Rekt News   

编译：深潮TechFlow

点击此处损失 1300 万美元。

Venus Protocol 的一位巨鲸刚刚通过惨痛经历认识到，Zoom 通话的费用可能比你的抵押贷款还要高。

一个恶意视频客户端、一个完美定时的签名，1300万美元消失得比 rug pull 公告还快。

但故事的转折点在于——Venus 并没有只是旁观用户被掏空然后无动于衷。

他们关闭了自己的协议，紧急召集投票，并在不到 12 小时内完成了 DeFi 领域最具争议的“救援行动”。

最初只是一次看似普通的网络钓鱼攻击，最终演变成了一堂关于去中心化协议是否能“鱼和熊掌兼得”的精彩大师课。

当拯救巨鲸意味着暴露协议中隐藏的终止开关时，真正获救的是谁？

来源：Peckshield、Venus Protocol、Blocksec、Kuan Sun

9月2日，UTC 时间 9:05。Venus Protocol 的一位巨鲸启动了他们的 Zoom 客户端，准备开启新的一天的 DeFi 业务。

但看似无辜的视频软件却被悄悄入侵，让攻击者可以通过后门访问他们的整个设备访问权限。

为什么要破解代码？直接攻破信任岂不是更简单？

受害者签署了一笔委托授权交易——这是一种在 DeFi 中每天发生数千次的例行操作权限。

无需接触私钥即可管理您仓位的协议。一般来说，签署这些协议的速度比阅读服务条款的速度还快。

点击。签名。瞬间“爆仓”。

从签名到财务毁灭，仅仅六秒钟。

一个被攻破的视频客户端，就这样将一个价值1300万美元的钱包的管理权限拱手交给了耐心等待时机的攻击者。

大多数网络钓鱼故事到这里就结束了——巨鲸遭殃，攻击者销声匿迹，Twitter 上对受害者的嘲讽持续一周。

但这次，窃贼的计划比简单的“打劫一空”要野心勃勃得多。

当窃取数百万美元还不够满足时，又会发生什么？

盗窃行动

UTC 时间 09:05:36 。就在巨鲸签下他们的“加密自杀协议”六秒后，攻击者启动了一场闪电贷的“杰作”。

漏洞交易： 0x4216f924ceec9f45ff7ffdfdad0cea71239603ce3c22056a9f09054581836286

Venus Protocol 的事后分析详细解构了攻击者的操作策略：

第一步：闪电借入285.72 BTCB——毕竟，为什么要用自己的钱？DeFi允许你无需抵押就能借入数百万资金。

第二步：用借来的资金清偿受害者现有的债务，同时再从攻击者自己的账户中追加21 BTCB。看似慷慨，其实是冷酷无情的“会计式谋杀”。

第三步：激活委托权限。转移受害者的全部数字资产——包括价值1980万美元的 vUSDT、715万美元的 vUSDC、285 BTCB，以及一长串其他代币。这一切都完全合法，因为六秒前那份“天真”签名已授权完成。