Найбільша кредитна платформа на BNB Chain — Venus Protocol — стала жертвою витонченої атаки з маніпуляцією ціною токена THE від проєкту Thena. Зловмисник штучно роздув вартість малоліквідного активу майже у 20 разів та використав його як заставу для виведення Bitcoin, CAKE та USDC на загальну суму понад $3,7 млн.
Дев'ять місяців підготовки
Розслідування на ланцюзі показало, що зловмисник почав підготовку ще у червні 2025 року, систематично нарощуючи позицію у токені THE на Venus Protocol. За дев'ять місяців він накопичив 14,5 млн токенів — це 84% від встановленого протоколом ліміту постачання. Повільне нарощування позиції дозволило залишатися поза увагою систем моніторингу платформи.
Початкове фінансування операції — 7 400 ETH — надійшло через Tornado Cash, міксер для приховування походження криптовалютних транзакцій. Цей факт суттєво ускладнює ідентифікацію атакуючого та потенційне повернення викрадених коштів.
Як працював експлойт
Ключовим елементом атаки стала так звана «donation attack». Замість стандартного депозиту через функцію протоколу атакуючий переказував токени THE напряму у смарт-контракт vTHE. Це спотворювало внутрішній обмінний курс контракту та дозволяло обійти встановлений ліміт постачання.
У результаті зловмисник створив заставну позицію у 53,2 млн THE — утричі більше за дозволений максимум. Далі він запустив циклічну схему: вносив THE як заставу, позичав інші активи, купував на них ще більше THE та чекав на оновлення цінового оракула TWAP.
Через мізерну ліквідність THE на ланцюзі ціна токена злетіла з приблизно $0,27 до майже $5 за одиницю. Кожен цикл збільшував оціночну вартість застави, відкриваючи можливість позичати дедалі більші обсяги реальних активів.
Масштаб викрадених активів
Блокчейн-аналітик EmberCN підрахував, що навіть після часткової ліквідації позицій у протоколі залишилось приблизно $2,15 млн безнадійного боргу. Він складається з 1,18 млн токенів CAKE та 1,84 млн THE, які більше не забезпечені достатньою заставою.
Реакція протоколу та заморожені ринки
Команда Venus повідомила про виявлення «незвичайної активності» у пулі THE та негайно призупинила запозичення й виведення цього токена. Додатково було тимчасово заблоковано кілька інших ринків із високою концентрацією ліквідності — BCH, LTC, UNI, AAVE, FIL та TWT — задля запобігання каскадним ліквідаціям.
Це вже другий серйозний інцидент безпеки у Venus Protocol. У лютому 2025 року аналогічна «donation attack» на розгортанні Venus у мережі ZKSync завдала збитків на понад $700 тис. Повторення тієї самої вразливості через рік свідчить про системні недоліки в архітектурі перевірки лімітів постачання.
Тривожний тренд у DeFi-кредитуванні
Експлойт Venus є частиною ширшої хвилі атак на кредитні DeFi-протоколи. Лише кілька днів тому трейдер втратив $50 млн через MEV-атаку під час обміну на Aave. Обидва інциденти демонструють, що навіть провідні платформи з мільярдними обсягами залишаються вразливими до маніпуляцій.
Для користувачів DeFi-сервісів ці події — нагадування про важливість диверсифікації ризиків між кількома протоколами, перевірки ліквідності заставних активів та уважного ставлення до платформ, які приймають малоліквідні токени як заставу.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *