Venus Protocol Замораживает семь рынков после эксплуатации на $3,7M через низколиквидный токен THE в THENA

Venus Protocol, крупнейший рынок кредитования на BNB Chain, 15 марта 2026 года пострадал от взлома на сумму 3,7 миллиона долларов после того, как злоумышленник манипулировал ценой токена THE с низкой ликвидностью через девятимесячную атаку с ограничением поставки.

Инцидент, в результате которого протокол понес убытки примерно на 2,15 миллиона долларов в виде плохого долга, побудил Venus снизить показатели залога до нуля на семи дополнительных рынках в целях предотвращения концентрационного риска.

Злоумышленник, получивший 7400 ETH от крипто-микшера Tornado Cash, использовал низкую ликвидность THE на Venus для раздувания её цены с 0,27 до почти 5 долларов, после чего ликвидация вызвала падение до 0,24 доллара.

Методология атаки: накопление за девять месяцев и манипуляции оракулом

Исследователи безопасности и риск-менеджер Venus, Allez Labs, подробно описали сложный механизм атаки, который обошёл меры безопасности протокола с помощью многоэтапной стратегии.

Этап «Медленного и постепенного» накопления

Начиная с июня 2025 года, злоумышленник постепенно накапливал токены THE через обычные каналы депонирования в течение примерно девяти месяцев. Эта стратегия позволила им накопить 84% лимита поставки — около 12,2 миллиона THE — без срабатывания стандартных систем предупреждения о рисках.

Обход лимита поставки через прямой перевод

15 марта злоумышленник осуществил взлом, переведя токены THE напрямую в контракт vTHE вместо депонирования через стандартный процесс выпуска. Этот «атака-донат» — известная уязвимость в протоколах, ответвленных от Compound — мгновенно увеличила признанный объем поставки до 3,67 раза превышающего лимит, создав огромную залоговую базу.

Рекурсивная манипуляция ценой

Обеспечив крупную залоговую позицию, злоумышленник использовал крайне низкую ликвидность THE в on-chain и задержки TWAP-оракула (Time-Weighted Average Price). Он запустил рекурсивный цикл:

• депонирование завышенного залога THE
• заимствование других активов (включая BTCB, CAKE и BNB)
• использование заимствованных средств для покупки большего количества THE на блокчейне
• ожидание обновления TWAP-оракула для отражения манипулированных более высоких цен

Злоумышленник успешно занял около 6,67 миллиона CAKE, 2801 BNB, 1,58 миллиона USDC и 20 BTCB, прежде чем сработали механизмы ликвидации.

Аварийные меры по управлению рисками: заморозка залога на семи рынках

В ответ на взлом и для предотвращения системного риска протокол Venus внедрил экстренные изменения параметров, нацеленные на рынки с высокой концентрацией залога.

Пострадавшие рынки и меры предосторожности

Venus снизил фактор залога (CF) до нуля на семи рынках, признанных уязвимыми из-за превышения 60% концентрации залога одним пользователем:

Все остальные рынки Venus продолжают функционировать в обычном режиме и не затронуты мерами предосторожности.

Критерии уязвимости рынка

Меры касались рынков с характеристиками:

• рыночная капитализация менее 2 миллиардов долларов
• ежедневный объем торгов менее 100 миллионов долларов
• общий заблокированный объем (TVL) на DEX менее 40 миллионов долларов
• концентрация залога одного пользователя выше 60%

Влияние инцидента и контекст протокола

Этот взлом добавил к истории проблем безопасности Venus Protocol, которая с 2021 года сталкивалась с накоплением плохого долга из-за предыдущих инцидентов.

Исторический накопленный плохой долг

• Манипуляция XVS в 2021 году: более 95 миллионов долларов в плохом долге из-за ценовой манипуляции токеном XVS
• Крах Terra/LUNA в 2022 году: 14 миллионов долларов в плохом долге
• Хак моста BNB Chain в 2022 году: украдено BNB, использованные для заимствования 150 миллионов долларов в стейблкоинах
• Атака донат в феврале 2025 года: 700 000 долларов в плохом долге на развертывании Venus на ZKSync по аналогичной механике

Общий заблокированный объем (TVL) протокола снизился с пика в 7 миллиардов долларов до примерно 1,47 миллиарда после этих инцидентов.

THENA подтвердил, что его смарт-контракты не были взломаны, и средства пользователей на платформе остаются в безопасности.

Текущие расследования и планы по отчетности

Venus Protocol заявил о своей приверженности прозрачности и пообещал опубликовать полный отчет после завершения расследования.

Allez Labs, партнер по управлению рисками Venus, продолжает анализировать вектор атаки и уже поделился предварительными выводами, описывающими четырехэтапный процесс эксплуатации.

Часто задаваемые вопросы

Что такое «атака с ограничением поставки» в DeFi-кредитовании?

Атака с ограничением поставки обходит механизм безопасности протокола, который ограничивает максимальное количество одного актива, используемого в качестве залога. В этом случае злоумышленник обошел лимит поставки Venus, переведя токены THE напрямую в контракт протокола вместо стандартного депонирования. Это позволило создать залоговую позицию в 3,67 раза превышающую лимит, которая затем использовалась для заимствования чрезмерных активов после манипуляции ценовым оракулом.

Какие активы были украдены в результате взлома Venus Protocol?

Злоумышленник занял примерно 5,07 миллиона долларов активов, используя завышенный залог THE. В их числе — 2172 BNB, 1,516 миллиона CAKE и 20 BTCB. Однако в результате ликвидационных процедур протокол остался с примерно 2,15 миллиона долларов плохого долга, включающего около 1,18 миллиона CAKE и 1,84 миллиона THE, которые не были возвращены.

Как протокол Venus отреагировал на взлом?

Venus Protocol немедленно принял экстренные меры, приостановив все заимствования и выводы токенов THE. В качестве более широких мер профилактики системного риска протокол снизил показатели залога до нуля на семи дополнительных рынках: Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL), Trust Wallet Token (TWT) и lisUSD. Все остальные рынки продолжают работу в обычном режиме.