BNBチェーンの主要なレンディング市場で新たな脆弱性が発見され、DeFiのリスク管理に対する懸念が再燃しています。最新のVenusプロトコルのハッキングもまた、オラクルと流動性の弱点に関連していることが判明しました。Venusでの価格操作の経緯日曜日、BNBチェーンの支配的なレンディングプラットフォームであるVenus Protocolが、ThenaのネイティブトークンであるTHEを中心とした高度な価格操作攻撃を受けました。この事件は特定の資産市場を標的とし、担保のオンボーディングや流動性の前提に構造的な脆弱性を露呈させました。攻撃者は、オンチェーンの流動性が薄い状態を利用し、THEの価格を約0.27ドルからほぼ5ドルまで押し上げました。彼らの戦略は、トークンを繰り返し担保として預け入れ、他の資産を借り入れ、借りた資金でさらにTHEを購入し、このサイクルをループさせるものでした。さらに、Venusの価格オラクルはこれらのサイクル中も人工的に膨らんだ市場価値を追跡し続けました。VenusのTHE供給上限を回避するために、攻撃者は寄付攻撃の手法を用いました。標準の預入機能を使わず、トークンを直接vTHEスマートコントラクトに送金することで、プロトコルの内部為替レートを歪め、供給制限を実質的に無効化し、大量の担保を生成しました。膨らんだ担保を用いて、攻撃者は複数の資産を引き出しました。短時間で6.67百万CAKE、1.58百万USDC、2,801BNB、20ビットコインを引き出し、操作されたTHEの評価を実際の価値に変換しました。損失推定、不良債権と緊急対応Wu Blockchainの報告によると、攻撃による総損害は370万ドルを超えます。ただし、その全てが未解消のリスクとして残っているわけではありません。独立したオンチェーンアナリストのEmberCNは、Venus上に約215万ドルの不良債権が残っていると推定しており、これは約118万CAKEと184万THEで、十分な担保が付いていない状態です。この攻撃の背後にあるウォレットアドレスは、最初にTornado Cashを通じて7,400ETHで資金提供を受けていました。Tornado Cashはプライバシー重視の暗号通貨ミキサーですが、このようなツールの使用は複雑な攻撃において一般的であり、追跡や回収作業を困難にしています。これに対し、Venus ProtocolはX上で、「異常な活動」を検知したと発表し、THEの流動性プールに関してすべての借入と引き出しを即座に停止しました。この措置は緊急の安全策として位置付けられ、内部および外部のセキュリティレビューが進行中です。攻撃者の取引と純損失の可能性攻撃の過程は、攻撃者の意図通りに進まなかった部分もあります。最初の借入ループ後、Venusの時間加重平均価格オラクルはTHEの評価を約0.50ドルに調整しましたが、これはスポット取引で見られたほぼ5ドルには遠く及びませんでした。これにより、プロトコル内の担保価値は実質的に低下しました。それでも攻撃者は借入資本を使ってTHEを継続的に取得し、価格を維持しつつ借入能力を最大化しようとしました。しかし、売り圧力がオーダーブックの浅さにより圧倒され、アカウントのヘルスファクターが1に近づき、清算が発生。担保は急落する市場に売却されました。この清算はほとんど深みのない市場で行われ、THEは約0.24ドルまで暴落し、攻撃前の価格約0.27ドルを下回る結果となりました。最初にこの事件を公に指摘したオンチェーンセキュリティ研究者のLi Weilinは、攻撃者はオンチェーン上で得られる利益は限定的であり、最終的には純損失を被った可能性が高いと指摘しています。公開時点で、THEは約0.2255ドルで取引されており、過去24時間で17%以上の下落を記録しています。この急激な反転は、流動性の乏しい資産における極端なボラティリティが、最初は儲かると見えた操作の経済性を逆転させることを示しています。Venusにおける不良債権事例の連鎖今回のVenus Protocolの事件は、市場操作や担保設計に起因する損失の歴史に新たな一ページを加えました。2021年には、プラットフォームのネイティブXVSトークンを利用した詐欺により、9500万ドル以上の不良債権が発生し、プロトコルとコミュニティに大きな穴を残しました。また、2022年のTerra/LUNA崩壊時には、Venusは約1400万ドルの未担保リスクを吸収しました。これらの損失はシステム的な市場の崩壊によるものであり、直接的な攻撃ではなく、異なるリスクの側面を示しています。最近では、2025年2月にVenusのZKSync展開に対しても、類似の寄付型攻撃が行われ、700,000ドル超の不良債権を生み出しました。このパターンの繰り返しは、担保のオンボーディングやエッジケースの挙動に対するプロトコルの対応に対する監視を強めています。Compound系の設計リスクと警告無視の問題この脆弱性は、Venus Protocolに特有のものではありません。寄付型攻撃は、Compoundフォークのレンディングシステムにおいて既知の設計上の弱点を示しています。具体的には、利息を生む市場への直接トークン送金が、担保評価や供給上限のロジックを歪める可能性があるというものです。重要なのは、VenusのCode4renaによるセキュリティレビューでもこのリスクは既に指摘されていたことです。しかし、当時の開発チームはこの指摘の深刻さを疑問視し、完全な対策を講じることなく放置していました。今回のほぼ同一の攻撃の再発は、その判断に対してセキュリティ研究者やユーザーからの批判を再燃させています。BNBチェーンやその他のDeFi市場において、最新のVenusプロトコルのハッキングは、理論上の問題が放置されると実際の損失につながることを改めて示しています。今後は、担保流動性、オラクルソース、寄付型送金の管理を厳格化し、信頼回復に努める必要があります。要約すると、THEを用いたVenusへの攻撃は、価格操作、オラクル依存、寄付を利用した資金増加の手法を組み合わせて、370万ドル超の被害をもたらし、また、Compound系レンディングの長年の構造的リスクを浮き彫りにしました。
Venus Protocolハック、BNB Chain上のTHEトークン操作により370万ドルの損失が発生
BNBチェーンの主要なレンディング市場で新たな脆弱性が発見され、DeFiのリスク管理に対する懸念が再燃しています。最新のVenusプロトコルのハッキングもまた、オラクルと流動性の弱点に関連していることが判明しました。
Venusでの価格操作の経緯
日曜日、BNBチェーンの支配的なレンディングプラットフォームであるVenus Protocolが、ThenaのネイティブトークンであるTHEを中心とした高度な価格操作攻撃を受けました。この事件は特定の資産市場を標的とし、担保のオンボーディングや流動性の前提に構造的な脆弱性を露呈させました。
攻撃者は、オンチェーンの流動性が薄い状態を利用し、THEの価格を約0.27ドルからほぼ5ドルまで押し上げました。彼らの戦略は、トークンを繰り返し担保として預け入れ、他の資産を借り入れ、借りた資金でさらにTHEを購入し、このサイクルをループさせるものでした。さらに、Venusの価格オラクルはこれらのサイクル中も人工的に膨らんだ市場価値を追跡し続けました。
VenusのTHE供給上限を回避するために、攻撃者は寄付攻撃の手法を用いました。標準の預入機能を使わず、トークンを直接vTHEスマートコントラクトに送金することで、プロトコルの内部為替レートを歪め、供給制限を実質的に無効化し、大量の担保を生成しました。
膨らんだ担保を用いて、攻撃者は複数の資産を引き出しました。短時間で6.67百万CAKE、1.58百万USDC、2,801BNB、20ビットコインを引き出し、操作されたTHEの評価を実際の価値に変換しました。
損失推定、不良債権と緊急対応
Wu Blockchainの報告によると、攻撃による総損害は370万ドルを超えます。ただし、その全てが未解消のリスクとして残っているわけではありません。独立したオンチェーンアナリストのEmberCNは、Venus上に約215万ドルの不良債権が残っていると推定しており、これは約118万CAKEと184万THEで、十分な担保が付いていない状態です。
この攻撃の背後にあるウォレットアドレスは、最初にTornado Cashを通じて7,400ETHで資金提供を受けていました。Tornado Cashはプライバシー重視の暗号通貨ミキサーですが、このようなツールの使用は複雑な攻撃において一般的であり、追跡や回収作業を困難にしています。
これに対し、Venus ProtocolはX上で、「異常な活動」を検知したと発表し、THEの流動性プールに関してすべての借入と引き出しを即座に停止しました。この措置は緊急の安全策として位置付けられ、内部および外部のセキュリティレビューが進行中です。
攻撃者の取引と純損失の可能性
攻撃の過程は、攻撃者の意図通りに進まなかった部分もあります。最初の借入ループ後、Venusの時間加重平均価格オラクルはTHEの評価を約0.50ドルに調整しましたが、これはスポット取引で見られたほぼ5ドルには遠く及びませんでした。これにより、プロトコル内の担保価値は実質的に低下しました。
それでも攻撃者は借入資本を使ってTHEを継続的に取得し、価格を維持しつつ借入能力を最大化しようとしました。しかし、売り圧力がオーダーブックの浅さにより圧倒され、アカウントのヘルスファクターが1に近づき、清算が発生。担保は急落する市場に売却されました。
この清算はほとんど深みのない市場で行われ、THEは約0.24ドルまで暴落し、攻撃前の価格約0.27ドルを下回る結果となりました。最初にこの事件を公に指摘したオンチェーンセキュリティ研究者のLi Weilinは、攻撃者はオンチェーン上で得られる利益は限定的であり、最終的には純損失を被った可能性が高いと指摘しています。
公開時点で、THEは約0.2255ドルで取引されており、過去24時間で17%以上の下落を記録しています。この急激な反転は、流動性の乏しい資産における極端なボラティリティが、最初は儲かると見えた操作の経済性を逆転させることを示しています。
Venusにおける不良債権事例の連鎖
今回のVenus Protocolの事件は、市場操作や担保設計に起因する損失の歴史に新たな一ページを加えました。2021年には、プラットフォームのネイティブXVSトークンを利用した詐欺により、9500万ドル以上の不良債権が発生し、プロトコルとコミュニティに大きな穴を残しました。
また、2022年のTerra/LUNA崩壊時には、Venusは約1400万ドルの未担保リスクを吸収しました。これらの損失はシステム的な市場の崩壊によるものであり、直接的な攻撃ではなく、異なるリスクの側面を示しています。
最近では、2025年2月にVenusのZKSync展開に対しても、類似の寄付型攻撃が行われ、700,000ドル超の不良債権を生み出しました。このパターンの繰り返しは、担保のオンボーディングやエッジケースの挙動に対するプロトコルの対応に対する監視を強めています。
Compound系の設計リスクと警告無視の問題
この脆弱性は、Venus Protocolに特有のものではありません。寄付型攻撃は、Compoundフォークのレンディングシステムにおいて既知の設計上の弱点を示しています。具体的には、利息を生む市場への直接トークン送金が、担保評価や供給上限のロジックを歪める可能性があるというものです。
重要なのは、VenusのCode4renaによるセキュリティレビューでもこのリスクは既に指摘されていたことです。しかし、当時の開発チームはこの指摘の深刻さを疑問視し、完全な対策を講じることなく放置していました。今回のほぼ同一の攻撃の再発は、その判断に対してセキュリティ研究者やユーザーからの批判を再燃させています。
BNBチェーンやその他のDeFi市場において、最新のVenusプロトコルのハッキングは、理論上の問題が放置されると実際の損失につながることを改めて示しています。今後は、担保流動性、オラクルソース、寄付型送金の管理を厳格化し、信頼回復に努める必要があります。
要約すると、THEを用いたVenusへの攻撃は、価格操作、オラクル依存、寄付を利用した資金増加の手法を組み合わせて、370万ドル超の被害をもたらし、また、Compound系レンディングの長年の構造的リスクを浮き彫りにしました。