Venus Protocol Membekukan Tujuh Pasar Setelah Eksploitasi $3.7M Melalui Token THE Likuiditas Rendah THENA

Venus Protocol, pasar pinjaman terbesar di BNB Chain, mengalami kerugian sebesar $3,7 juta pada 15 Maret 2026, setelah seorang penyerang memanipulasi harga token THE yang memiliki likuiditas rendah melalui serangan “batas pasokan” selama sembilan bulan.

Insiden ini, yang menyebabkan protokol mengalami perkiraan kerugian buruk sebesar $2,15 juta, mendorong Venus untuk menurunkan faktor jaminan menjadi nol di tujuh pasar tambahan sebagai langkah pencegahan terhadap risiko konsentrasi.

Penyerang, yang didanai dengan 7.400 ETH dari mixer kripto Tornado Cash, memanfaatkan likuiditas tipis THE di Venus untuk menaikkan harganya dari $0,27 menjadi hampir $5 sebelum likuidasi memicu keruntuhan kembali ke $0,24.

Metodologi Serangan: Akumulasi selama Sembilan Bulan dan Manipulasi Oracle

Peneliti keamanan dan manajer risiko Venus, Allez Labs, telah merinci mekanisme canggih di balik eksploitasi ini, yang melewati langkah-langkah pengamanan protokol melalui strategi multi-fase.

Fase Akumulasi ‘Lambat dan Rendah’

Dimulai pada Juni 2025, penyerang secara bertahap mengakumulasi token THE melalui saluran deposit normal selama sekitar sembilan bulan. Strategi ini memungkinkan mereka mengumpulkan 84% dari batas pasokan—sekitar 12,2 juta THE—tanpa memicu peringatan risiko standar.

Menghindari Batas Pasokan melalui Transfer Langsung

Pada 15 Maret, penyerang melaksanakan eksploitasi dengan mentransfer token THE langsung ke kontrak vTHE alih-alih melalui proses pencetakan standar. Teknik “serangan donasi” ini, yang merupakan kerentanan yang diketahui dalam protokol turunan dari Compound, secara instan meningkatkan pasokan yang diakui menjadi 3,67 kali lipat dari batas, menciptakan basis jaminan yang besar.

Manipulasi Harga Rekursif

Dengan posisi jaminan yang besar, penyerang memanfaatkan likuiditas on-chain THE yang sangat rendah dikombinasikan dengan penundaan oracle TWAP (Time-Weighted Average Price). Mereka memulai loop rekursif:

• Menyetor THE yang telah dimanipulasi sebagai jaminan

• Meminjam aset lain (termasuk BTCB, CAKE, dan BNB)

• Menggunakan dana pinjaman untuk membeli lebih banyak THE di on-chain

• Menunggu pembaruan oracle TWAP untuk mencerminkan harga yang dimanipulasi lebih tinggi

Penyerang berhasil meminjam sekitar 6,67 juta CAKE, 2.801 BNB, 1,58 juta USDC, dan 20 BTCB sebelum mekanisme likuidasi diaktifkan.

Mitigasi Risiko Darurat: Pembekuan Jaminan di Tujuh Pasar

Sebagai tanggapan terhadap eksploitasi dan untuk membatasi risiko sistemik, Venus Protocol menerapkan perubahan parameter darurat yang menargetkan pasar dengan konsentrasi jaminan tinggi.

Pasar yang Dikenai Pembekuan Pencegahan

Venus mengurangi faktor jaminan (CF) menjadi nol di tujuh pasar yang diidentifikasi rentan karena konsentrasi jaminan pengguna tunggal melebihi 60%:

Pasar

Tindakan yang Diambil

Alasan

BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD

Faktor Jaminan dikurangi menjadi 0

Risiko konsentrasi tinggi; satu pengguna memegang jaminan berlebihan

Semua pasar Venus lainnya tetap beroperasi dan tidak terpengaruh oleh langkah pencegahan ini.

Kriteria Kerentanan Pasar

Pembekuan ini menargetkan pasar yang memiliki karakteristik:

• Kapitalisasi pasar di bawah $2 miliar

• Volume perdagangan harian di bawah $100 juta

• Total Value Locked (TVL) DEX di bawah $40 juta

• Konsentrasi jaminan pengguna tunggal di atas 60%

Dampak Insiden dan Konteks Protokol

Eksploitasi ini menambah daftar tantangan keamanan yang dihadapi Venus Protocol, yang telah mengumpulkan kerugian buruk dari insiden sebelumnya sejak 2021.

Akumulasi Kerugian Buruk Sejarah

• 2021 Manipulasi XVS: Kerugian buruk lebih dari $95 juta dari manipulasi harga token XVS Venus sendiri

• 2022 Keruntuhan Terra/LUNA: $14 juta kerugian buruk

• 2022 Peretasan Jembatan BNB Chain: BNB yang dicuri digunakan untuk meminjam $150 juta dalam stablecoin

• Serangan Donasi Februari 2025: $700.000 kerugian buruk di penerapan Venus di ZKSync melalui mekanisme yang sama

Total Value Locked (TVL) protokol menurun dari puncaknya $7 miliar menjadi sekitar $1,47 miliar setelah insiden-insiden ini.

THENA mengonfirmasi bahwa kontrak pintarnya tidak diretas dalam serangan ini dan dana pengguna di platformnya tetap aman.

Investigasi Berkelanjutan dan Pelaporan Masa Depan

Venus Protocol menyatakan komitmennya terhadap transparansi, memastikan bahwa laporan post-mortem lengkap akan dipublikasikan setelah penyelidikan selesai.

Allez Labs, mitra manajemen risiko Venus, terus menganalisis vektor serangan dan telah membagikan temuan awal yang merinci proses eksploitasi empat tahap.

Pertanyaan yang Sering Diajukan

Apa itu ‘serangan batas pasokan’ dalam pinjaman DeFi?

Serangan batas pasokan melewati mekanisme pengamanan protokol yang membatasi jumlah maksimum satu aset yang dapat digunakan sebagai jaminan. Dalam insiden ini, penyerang mengakali batas pasokan Venus dengan mentransfer token THE langsung ke kontrak protokol daripada melalui saluran standar. Ini memungkinkan mereka menciptakan posisi jaminan 3,67 kali lebih besar dari batas yang ditetapkan, yang kemudian digunakan untuk meminjam aset berlebihan setelah memanipulasi oracle harga.

Aset apa saja yang dicuri dalam eksploitasi Venus Protocol?

Penyerang meminjam sekitar $5,07 juta dalam aset dari Venus menggunakan jaminan THE yang telah dimanipulasi. Ini termasuk 2.172 BNB, 1,516 juta token CAKE, dan 20 BTCB. Namun, proses likuidasi on-chain meninggalkan protokol dengan perkiraan kerugian buruk sebesar $2,15 juta, terdiri dari sekitar 1,18 juta CAKE dan 1,84 juta THE yang tidak dilunasi.

Bagaimana respons Venus Protocol terhadap serangan ini?

Venus Protocol segera mengambil tindakan darurat dengan menghentikan semua pinjaman dan penarikan token THE. Sebagai langkah pencegahan yang lebih luas terhadap risiko konsentrasi, protokol mengurangi faktor jaminan menjadi nol di tujuh pasar tambahan: Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL), Trust Wallet Token (TWT), dan lisUSD. Semua pasar lainnya tetap beroperasi normal.