Author：链捕手

黑客，是任何 DeFi 协议的致命敌人，绝大多数 DeFi 协议在面临百万美元级别的攻击损失后就会一蹶不振走向衰败， 但作为 BNB Chain 的头牌借贷协议、币安内部孵化项目，Venus Protocol 显然是一个罕见的例外。

Venus 最早由币安收购的 Swipe 团队开发，于 2020 年 BNB Chain 主网上线次月后发布，迅速成为 BNB Chain 上锁仓资产与用户规模最大的借贷协议。据 RootData 显示，目前 Venus 代币 FDV 为 9400 万美元， TVL 为 14.7 亿美元。

近日，Venus 再度成为黑客攻击的目标。根据官方团队复盘，攻击者从 2025 年 6 月开始，通过正常存款流程缓慢积累 THE 代币，最终持有约 1220 万枚 THE，价值 240 万美元。

3 月 15 日，攻击直接将所有 THE 代币作为抵押品存入借贷合约，利用链上 THE 流动性极低叠加 TWAP 预言机延迟，进行递归循环价格操纵，借出价值数百万美元的 BTC、BNB、CAKE 等资产。

随着 THE 价格崩溃引发连环清算，这起事件最终造成 Venus 约 215 万美元坏账。回顾过去几年的历史，Venus 几乎每年都会遭到黑客攻击，特别是预言机攻击，使得 Venus 累计出现超过 1 亿美元的坏账。

XVS 预言机价格操纵事件

2021 年 5 月，一名攻击者利用 XVS 代币在中心化交易所（主要是币安）流动性相对不足的弱点，在短时间内将 XVS 价格从约 70 美元推高至 140 美元以上。随后攻击者利用其持有的 XVS 作为抵押品，从 Venus 协议中借出了大量的优质资产（约 2000 个 BTC 和 5700 个 ETH）。

此后， XVS 价格出现断崖式下跌，最低跌至 31 美元触发了大规模清算。由于市场流动性无法支撑如此巨量的清算抛售，导致 Venus 协议产生了超过 9500 万美元的坏账。

该事件后该协议宣布 Swipe 团队退出管理，由社区成员共同组成新的理事会接手协议的后续治理，但仍然具有深厚的币安背景。

LUNA 崩盘事件

2022年 5 月，在该月的 LUNA 崩盘事件中，LUNA 真实价格短时间内迅速跌破 0.1 美元，但由于 Chainlink 预言机在价格跌至特定阈值（0.10 美元）后停止了更新，导致 Venus 协议依然以 0.1 美元的错误“高价”接收 LUNA 抵押。

攻击者在发现该漏洞后，从二级市场低价买入大量 LUNA 存入 Venus，以虚高的价值抵押并借走其他资产，导致协议再次产生超过 1120 万美元的坏账。

Binance Oracle 事故

2023 年 12月，由于 Venus 在低流动性资产 snBNB 的隔离借贷池中，采用了 Binance Oracle 的喂价数据，攻击者在 PancakeSwap 的那个极小的池子里买入 snBNB，由于深度极其薄弱，snBNB 的价格被瞬间拉升到了一个荒谬的水平。

攻击者随后存入 0.49 个 snBNB 并借出池中几乎所有可用的资产（包括 WBNB、BNBx、ankrBNB 等），总价值约 27.4 万美元，随后通过跨链桥洗出。最终，Venus 治理通过提案，动用国库资金（Treasury） 全额填补了这笔坏账。

wUSDM 预言机价格操纵事件

2024 年 2 月，一名攻击者利用 ERC-4626 协议漏洞，人为地导致了 Mountain Protocol 发行的 wUSDM 稳定币价格短时间内涨至 1.7 美元，随后攻击者在 Venus 协议中存入少量的 wUSDM。

由于预言机读取到了被操纵的“虚假高价”，攻击者利用这些被虚增价值的 wUSDM 抵押品，借走了池子里价值更高的其他资产（如 USDC、ETH 等）。随着 wUSDM 价格回落至正常的 1 美元，攻击者已经将贷出资产转移、不再归还，Venus 在对该交易进行清算后出现大约 71.6 万美元的坏账。

社区治理争议

除了以上攻击事故以外，Venus 在 2021 年 9 月还曾因为一次治理事件引起外界质疑。当时，一名 Venus 社区用户发布一则题为“组建Bravo团队”的提案，拟赋予一个名为该团队与原治理团队同等水平的投票和筹资能力。

不过，发起者疑似通过承诺分发代币来诱导投票。根据提案描述，在拟融资的190万 XVS 代币中，Bravo 团队将拿出 90 万 XVS（2900 万美元）分发给投赞成票的地址。最终，在9月14日晚10:33，该提案以 129 万张赞成票、119 万张反对票通过。

根据行业理念，链上治理提案被投票通过后应该由团队执行，但是 Venus 团队“一键取消”了该决议，称意在阻止匿名人员通过贿赂控制协议。这是迄今为止，DeFi行业极少数链上治理提案或投票通过但未获实施的情况之一。

此外在 2025 年 9 月，Venus 协议还发生了一起用户损失超过 1300 万美元的安全事故，但这主要是由于该用户电脑界面前端遭到黑客篡改，诱导其签署了“地址代理授权（delegate）”交易，而非 Venus 自身漏洞原因。

Venus 何以成为“幸存者”

纵观这些攻击事故，Venus 堪称是加密领域罕见的“幸存者”，或许也已经成为应对黑客攻击方面“最具经验”的项目。这很大程度上要得益于币安作为加密巨头在资源与品牌方面对 Venus 的持续加持，即便发生这么多安全事故，币安仍然在直接通过理财功能引导交易所用户向 Venus 存款以获得更高的收益率。

Venus 链上 TVL 统计 来源 ：DeFillama

众所周知，币安在 BNB Chain 生态拥有绝对的话语权。作为币安在借贷领域的主要支持对象，Venus 始终享有其他绝大多数 DeFi 项目所不具有的生态倾斜与风险兜底能力，即便可能存在一系列的安全隐患。

从行业角度的而言，DeFi 的脆弱性在这些案例中也凸显出来。无论是预言机延迟、低流动性资产、价格操纵，还是治理机制漏洞，这些问题都曾在 Venus 乃至更多 DeFi 项目的历史中反复出现。

在高度自动化的 DeFi 系统中，只要某一个环节出现设计缺陷，攻击者往往就能利用价格、流动性或时间差构建复杂的套利攻击。

Venus 能够在多次危机后继续存活，很大程度上依赖于强大的生态支持与资金补偿能力。但对于绝大多数 DeFi 项目而言，一次千万美元级别的攻击，往往就足以让整个协议走向终结。

Venus 的 “例外”，既印证了头部生态对项目的护盘能力，也反衬出 DeFi 安全体系的普遍脆弱 —— 当安全只能靠 “巨头兜底” 而非协议本身的风控与机制保障，DeFi 的真正安全，依然任重道远。