Атака на Venus Protocol призвела до втрати $3,7 млн після маніпуляції токеном THE на ланцюзі BNB

Новий злом на провідному ринку кредитування BNB Chain знову підняв питання щодо управління ризиками у DeFi, оскільки остання хакерська атака на протокол Venus знову пов’язана з вразливостями оракулів та ліквідності.

Як розгорталася маніпуляція ціною THE на Venus

У неділю протокол Venus, домінуюча платформа для кредитування на BNB Chain, зазнав складної атаки з маніпуляцією ціною, яка була сфокусована на THE — рідному токені Thena. Інцидент, спрямований на конкретний ринок активів, виявив структурні слабкості у процесі додавання застав та припущеннях щодо ліквідності.

Зломщик використав тонку внутрішньочасову ліквідність для підняття ціни THE з приблизно $0,27 до майже $5. Його стратегія полягала у багаторазовому внесенні токену як застави, позичанні інших активів, купівлі більш THE за позичені кошти та повторенні цього циклу. Крім того, ціноутворювач Venus продовжував відслідковувати штучно завищену ринкову вартість під час цих циклів.

Щоб обійти обмеження пропозиції THE у Venus, зломщик застосував техніку донат-атаки. Замість стандартної функції депозиту він безпосередньо переводив токени у смарт-контракт vTHE. Це спотворювало внутрішній курс обміну протоколу, фактично нейтралізуючи заплановані обмеження пропозиції та дозволяючи створювати надмірну заставу.

Використовуючи завищену заставу, зломщик вивів з протоколу кілька активів. За короткий час він зняв 6,67 мільйонів CAKE, 1,58 мільйонів USDC, 2801 BNB і 20 біткоїнів, перетворюючи маніпульовану оцінку THE у реальні цінності через кілька ліквідних токенів.

Оцінки збитків, поганий борг та екстрені заходи

Загальні збитки від атаки перевищують 3,7 мільйона доларів, повідомляє Wu Blockchain. Однак не вся ця сума залишається відкритою у вигляді зобов’язань. Незалежний аналітик EmberCN оцінив, що приблизно 2,15 мільйона доларів залишаються у вигляді поганого боргу на Venus, з яких близько 1,18 мільйона CAKE та 1,84 мільйона THE вже не забезпечені належною заставою.

Робочий коштовий адрес, що стоїть за операцією, спершу був профінансований 7400 ETH через Tornado Cash — сервіс для підвищення приватності криптовалютних транзакцій. Втім, використання таких інструментів є поширеним у складних зломах і ускладнює ідентифікацію та відновлення для слідчих та постраждалих протоколів.

У відповідь протокол Venus оголосив у X, що виявив «незвичайну активність» у пулі ліквідності THE. Команда швидко заблокувала всі функції позичання та зняття, пов’язані з THE, пояснюючи це як екстрений захід безпеки під час внутрішнього та зовнішнього аудиту безпеки.

Компроміси з боку зломщика та потенційні чисті збитки

Процес злома не розгортався точно так, як міг би намірити зломщик. Після першого циклу позичання ціна THE за часом зваженого оракула Venus була лише близько $0,50, значно нижче майже $5 у спотовій торгівлі. Це зменшило ефективну заставну цінність у протоколі.

Проте зломщик продовжував купувати THE за позичені кошти, намагаючись підтримувати підвищену ціну та максимізувати можливості позичання. Однак тривалий тиск продажу перевищив можливості глибини ордербука. Статус рахунку наближався до 1, що спричинило ліквідації та примусову продаж застави у швидко падаючому ринку.

Розпродаж відбувся на ринку з майже відсутньою глибиною. Ціна THE впала приблизно до $0,24, що навіть нижче за ціну перед атакою близько $0,27. Дослідник безпеки на блокчейні Вейлін Лі, який першим повідомив про інцидент, стверджує, що зломщик, ймовірно, отримав лише обмежений прибуток у блокчейні і, можливо, зафіксував чистий збиток.

На момент публікації THE торгується близько $0,2255, що на понад 17% менше за останні 24 години. Крім того, різкий розворот підкреслює, наскільки екстремальна волатильність у неликвідних активів може змінити економіку, що спочатку здавалася вигідною для маніпуляцій.

Патерн поганих боргів у Venus

Цей останній інцидент протоколу Venus додає до історії втрат, пов’язаних із маніпуляціями ринком та конструкцією застав. У 2021 році схема з використанням рідного токена XVS принесла понад $95 мільйонів у поганих боргах, залишивши протокол і його спільноту з великим боргом для вирішення.

Під час краху Terra/LUNA у 2022 році Venus поглинув приблизно $14 мільйонів незаставлених зобов’язань. Втім, ці втрати були спричинені системною несправністю ринку, а не прямим зломом, що підкреслює інший аспект ризику у платформах з мультиактивами.

Ще недавно, у лютому 2025 року, схожа донат-атака вразила розгортання Venus на ZKSync. Зломщики використали майже ідентичну механіку, щоб створити понад $700 000 поганого боргу. Повторення цього сценарію у різних середовищах посилило увагу до того, як протокол обробляє додавання застав та крайні випадки.

Ризики дизайну на основі Compound та ігноровані попередження

Основна вразливість, використана тут, не є унікальною для Venus Protocol. Атака у стилі донат є відомою слабкістю дизайну у системах позичання, що базуються на форку Compound, де прямі перекази токенів у ринки з відсотковою ставкою можуть спотворювати облік, що лежить в основі оцінки застав та логіки обмеження пропозиції.

Важливо, що перевірка безпеки Code4rena вже раніше вказувала на цю категорію ризиків. Однак команда розробників тоді оцінила цю проблему як не дуже серйозну і не впровадила повну міру захисту. Повторення майже ідентичної атаки тепер ставить під сумнів цю рішення, отримуючи нову критику від дослідників безпеки та користувачів.

Для ринків DeFi на BNB Chain і за їх межами останній злом Venus підкреслює, що відомі теоретичні проблеми можуть перетворитися у реальні збитки, якщо їх не вирішити. Надалі, більш жорсткий контроль за ліквідністю застав, джерелами оракулів та донат-операціями стане ключовим для відновлення довіри.

Підсумовуючи, атака на Venus з використанням THE, що поєднала маніпуляцію ціною, залежність від оракулів і донат-методи для створення понад $3,7 мільйона збитків, знову виявила довгострокові структурні ризики у кредитних протоколах на базі Compound.