Kuan Sun说：【一夜惊魂】我差点丢掉的1300万美元：Venus钓鱼攻击事件的受害者角度回顾

【一夜惊魂】我差点丢掉的1300万美元：Venus钓鱼攻击事件的受害者角度回顾

有人说：“虚惊一场”是人世间最美好的四个字。只有真正经历过“差点失去一切”的时刻，才懂得这句话背后的重量。

在 2025 年 9 月 2 日，我的钱包里 1300 万美元的资产差点在几小时内化为乌有。这是一次由臭名昭著的 Lazarus 黑客组织发起的钓鱼攻击。

如果不是一群优秀的安全团队紧急出手，这场本可能彻底的灾难，最终不会以“虚惊一场”收场。

这是我从受害者角度的完整回顾。

01 起因：一次看似正常的会议邀请

我是在 2025 年 4 月的香港万向大会上认识某位自称 Stack 亚洲 BD 的人，朋友 A 当面介绍。之前朋友 B 也曾经介绍过 Stack 的另一位成员，说他们可能有合作意向。于是我们有了初步的联系，并加了 TG。

上周五（8月29日），这位亚洲 BD 主动约我晚上 23:00 开个 catch up 会议。我因为前一个会议拖延，大约 23:10 才加入。他在 TG 群里说没关系。

他发来的会议链接是 Zoom。当时我没有多想，但现在回头看，Zoom 本身已经是 Lazarus 的常见攻击渠道（参考这里的分析 Huntability 报告 https://huntability.tech/threat-note-2025-04-23-nk-zoom/）。

02 陷阱：一次看似无害的“升级”

正是因为迟到，我心里带着愧疚，担心让别人久等，进会后更显慌乱。

结果一进去，发现视频里确实是他本人和几位所谓的同事，但就是没有声音。网页马上弹出提示：“你的麦克风不工作，需要升级。”

在那一刻，愧疚和慌乱叠加，让我失去了冷静思考的机会：

我急于补救迟到的不便；

看到提示就想赶紧解决问题，于是点了“upgrade”。

事实证明，这就是黑客布下的陷阱。

03 精细的盘算：一次量身定制的攻击

后来我复盘发现，黑客并不是临时起意，而是 高度定制化 地对我下手。

周一，他们就部署了攻击合约，逻辑完全针对我的仓位模式，我的这个地址内资产基本都在Venus，而且借出了很多负债，所以和大部分人的资产分布很不相同，从Venus官方的报告https://x.com/VenusProtocol/status/1963251755543839227 可以看出,攻击者的那一笔交易及其复杂，涉及了极多针对性的操作。

他们甚至可能研究过我的习惯，知道我常用 Rabby钱包，于是可能专门做了一个假的 Rabby 插件替换到我的 Chrome 里。

具体的事件细节流程我回忆如下：

那天，我打开电脑，Chrome 异常退出，提示“是否恢复标签页”（回头看有点奇怪，可能是攻击者之前做了一些操作，比如安装恶意插件导致的崩溃）。我点了“是”，在恢复的页面里打开 Venus，执行了我无数次做过的操作：withdraw。

如果当时是真正的 Rabby，凭借它优秀的风控机制，一定会：

1.提醒我合约风险，要求我手动二次确认；2.并且给我展示这笔交易的 simulate 结果。

但因为可能插件已经被替换成假的，这些安全提示完全消失了。于是整个操作过程 顺滑得就像一笔正常交易，和我之前无数次点击 withdraw 没有任何区别。

正是这种 “熟悉感” + “流畅感”，彻底麻痹了我的警惕心。等我意识到的时候，一切已经太迟。

发送完这笔交易，我的chrome再次崩溃，电脑很卡，再次打开chrome后我的谷歌账号被踢出，同时我发现自己的账户并没有取出的USDT，去查看浏览器发现异常的交易，顿觉大事不妙。

令人后怕的是，事后我才从朋友口中得知，这位所谓的亚洲 BD 的 TG 账号早在此前就被盗过。也就是说，从一开始，我面对的就是一个伪装成“熟人”的陷阱。

这就是黑客最可怕的地方：他们利用了人际交往中的“半熟不熟”，用熟悉的场景和习惯，降低受害者的防御心。

如果完全陌生，我会更警惕。如果特别熟悉，我能从行为习惯说话风格看出异常。偏偏是“半熟”，加上前期的铺垫，让我彻底放下了戒备。

04 真相：假身份、deepfake、Lazarus

结合攻击手法、交易 gas 来源，以及相似案例，可以基本确认这是 Lazarus 团队的行动。而视频中出现的所谓“同事”，大概率是 deepfake 生成的假脸。

事实上，我听说几个月之前Venus 社区也有一位社群管理员中招过，手法一模一样，也是zoom会议被钓鱼，然后自己在里面的存款被转移，但十分令人痛心的事那次事件没有找回资金。

05 转机：安全团队的紧急响应

事情发生后，我第一时间联系了 PeckShield和Slowmist。蒋博士@xuxian_jiang很快拉群，把我和 Venus 团队直接连上线。

当时，我和 Venus 团队并不认识。但他们在看到交易后，立刻选择了 暂停协议。为什么？因为这笔交易过于异常：

1.我的账户里有 5 种资产，并借出了大量负债；

2.黑客拿到 delegate 权限后，一笔极其复杂交易就把绝大部分资产 连带我的负债 转走；

3.这种行为极不符合正常用户模式，绝不是正常用户会发出的。

暂停协议、审查智能合约的安全性、排查前端是否存在被劫持的可能——这些措施都是必要的。正是因为他们的果断和负责，Lazarus 最终没能得逞。

06 反思：我的教训与感悟这次事件再一次表明，近年来朝鲜黑客的手法已经进化到了“社会工程 + deepfake + 技术木马”三位一体。哪怕有视频会议、看似正常的推特身份，也可能全是假象。

而且，这次我用的还是 硬件钱包。理论上它应该是最安全的选择，但由于 DeFi 的复杂交互，我不得不开启 盲签Blind sign。

偏偏就在这个环节，黑客的手段发挥了最大作用：

他们通过恶意替换掉 Rabby 插件，让界面看上去一切正常，钱包端没有任何提示；

我在硬件钱包上签名的时候，其实很难分辨出背后的真实交易逻辑；

于是，硬件钱包成了“最后的执行者”，但信息输入本身已经被污染。

这让我意识到一个残酷的事实：

硬件钱包并不是万能的安全保障，如果插件或前端被劫持，用户依然可能在盲签中中招。

07 给行业和个人的安全建议

少用 Zoom：Lazarus 相关攻击中，Zoom 链接已是重灾区，尽量避免在敏感业务中使用。

插件只能从官方渠道下载，不要点任何弹窗里的“升级”链接。

尽可能用硬件钱包，但不要迷信它万能，一定要结合前端和其他方面的风控。

不要轻信半熟人关系：视频、语音、会议都可能被 deepfake。

保持怀疑：遇到不合理的请求时，哪怕只是“升级麦克风”，都要停下来想一想。

结语这是一场与 Lazarus 的短兵相接。

最终，很侥幸在各方团队@VenusProtocol,@peckshield,@binance,@chaos_labs,@hexagate_,@HypernativeLabs,@SlowMist_Team的帮助下，我们赢了，又或者其实我们只是没有输太多，但是我知道如今的情况也已经是中彩票级别的幸运。因为面对Lazarus这种国家级别的团队，绝大多数类似案例都无法找回资产。

但这场经历，也让我记住一句话：加密世界的最大风险，不是市场波动，而是你以为“没问题”的那一瞬间。

Source link