Venus Protocol「习惯性失守」：安全机制缺陷还是生态原罪？

撰文：链上观

延展思考下 Venus Protocol 被攻击的逻辑可能性：

1）安全专家都说是大户被钓鱼了，常规理解拿了私钥直接提款就好了怎么会有闪电贷？

大概率是黑客通过社工获得了 updateDelegate 授权，拿到了大户的账户操作权限，却没有即时的流动性可以撤出，通俗说就是拿了权限但是大户只是有抵押品在，借出的钱又不在，黑客得想办法拿到大户的抵押品才行；

2）是不是大户个人被钓鱼的问题，就跟 Venus 合约没关系了？前边说了，如果黑客发现大户账上没流动性，正常情况下应该是白忙一场。但为啥通过简单的闪电贷攻击就又能撤出抵押品呢？答案就是 Venus 的合约机制了，黑客可能通过闪电贷以及一系列的 vToken 跨平台机制的汇率差，帮大户还了钱拿出了抵押品，还多拿出来一部分。

简单来说，是大户的抵押品被盗了没错，但是大概率会成为 Venus 合约平台的坏账，除非大户傻到还要给平台还钱吧。

3）其他用户的资金暂时安全，但 Venus 平台的责任问题可不小。虽然本次攻击的触发条件是大户被社工钓鱼在先，但终究还是获利成功了，被盗的 $3,000 万也大概率会成为 Venus 平台的坏账，加上临时恐慌的挤兑效应，其影响够 Venus 喝一壶的。

但更大的影响在于，这事掀起了大家对于 Venus 「习惯性被攻击」的可怕回忆，XVS 价格被操纵事件，被沦为 BNB 的跨链桥洗钱工具等，都是 Venus 安全工程根本性缺陷造成的伤害影响。作为 BSC 上最大的借贷协议，如此这般恐怕说不过去。 Note: 以上内容是根据目前披露信息的正常逻辑推测，具体以实际披露的细节为主。