Venus Protocol постраждав від атаки «ліквідаційної бомби»: хакер видавав себе за нормальну операцію 9 місяців, створив 2.15 мільйона доларів поганих боргів

BNB Chain позичальницька угода Venus Protocol 16 березня зазнала ретельно спланованої атаки з використанням вразливості ліміту пропозиції. Хакери протягом 9 місяців повільно накопичували позиції, маніпулювали ціною THE токена, а потім запустили ланцюг ліквідацій, в результаті чого було виведено близько 5,07 мільйонів доларів активів і залишено борг на 2,15 мільйонів доларів.
(Передісторія: Хакер BNB майже ліквідував 200 мільйонів доларів, Venus: офіційний представник BNB Chain заявив, що «зазначені позиції будуть взяті під контроль»)
(Додатковий фон: Дослідження | Найпоширеніші атаки на DeFi економічні моделі: маніпуляція ціною, помилки оракулів, ліквідація з кредитним плечем)

Зміст статті

Переключити

• Таймлайн атаки: 9 місяців прихованої підготовки, 40 хвилин для збору врожаю
• Результат: виведено 5,07 мільйонів доларів, борг на 2,15 мільйонів доларів
• Екстрені заходи Venus: скасування 7 маржових коефіцієнтів

16 березня головний позичальницький протокол BNB Chain Venus Protocol зазнав ретельно спланованої атаки, що тривала 9 місяців. Хакери, отримавши кошти через Tornado Cash, маніпулювали ціною THE (рідного токена Thena) з низькою ліквідністю, що спричинило ланцюг ліквідацій, у результаті чого протокол зазнав боргу на 2,15 мільйонів доларів, а самі хакери вивели близько 5,07 мільйонів доларів активів, їхня реальна вигода, ймовірно, була ще більшою.

Таймлайн атаки: 9 місяців прихованої підготовки, 40 хвилин для збору врожаю

Обліковий запис гаманця, що отримав 7 447 ETH (приблизно 16,29 мільйонів доларів) через Tornado Cash, під назвою «0x7a7», був ідентифікований дослідниками блокчейну як організатор атаки.

Атака проходила у два етапи:

2. Довгострокова підготовка (з червня 2025 року): зловмисник через звичайний процес депозиту повільно накопичував THE токени у Venus, у підсумку володіючи 84% від максимальної пропозиції протоколу (приблизно 12,2 мільйонів токенів).
3. Вибух у день (приблизно 40 хвилин): зловмисник, використовуючи ETH як заставу для Aave, позичив 9,92 мільйонів доларів у стабільних монетах, масово скуповував THE на централізованих біржах, імовірно, підвищуючи ціну на спотових ринках; одночасно безпосередньо переводив 36,1 мільйонів THE у протокол, миттєво збільшуючи пропозицію в мережі.

Далі активували рекурсивний цикл: внесення THE → позичання інших активів → використання позичених активів для повторних покупок THE → очікування затримки оновлення TWAP оракула, що пасивно підвищує ціну → повтор.

Ціна THE у спотовому ринку під час цього процесу зросла з 0,263 до 0,563 долара, більш ніж удвічі. Приблизно через 40 хвилин ціна обвалилися до 0,22 долара, що спричинило ланцюг ліквідацій.

Результат: виведено 5,07 мільйонів доларів, борг на 2,15 мільйонів доларів

Зловмисник у підсумку позичив і вивів:

• 2172 BNB
• 151 600 CAKE
• 20 BTC

Venus зазнав боргу приблизно на 1,18 мільйонів CAKE і 1,84 мільйонів THE, що в сумі становить близько 2,15 мільйонів доларів. Дослідники вказують, що позиції THE на централізованих біржах могли принести додатковий прибуток, і реальний заробіток міг бути значно вищим за цифрові дані на блокчейні.

Ця атака належить до відомого типу — «supply cap donation attack» — за повідомленням CoinTelegraph, це відомий вразливий момент, що дозволяє обійти обмеження пропозиції у форку протоколу Compound. Оскільки Venus є гілкою Compound, вона має цю вразливість.

Екстрені заходи Venus: скасування 7 маржових коефіцієнтів

«Venus завжди прагне до прозорості, після завершення розслідування буде опубліковано повний звіт.» — офіційне повідомлення Venus Protocol

Офіційний представник Venus повідомив, що, крім тимчасової зупинки позик і виведення THE, наразі скасовано 7 маржових коефіцієнтів (Collateral Factor) для наступних ринків, щоб запобігти зловживанням через високу частку застави у окремих користувачів:

• BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD

Протокол підкреслює, що всі інші ринки, окрім зазначених, залишаються незмінними і продовжують працювати у штатному режимі. Повний звіт буде опубліковано після завершення розслідування.

Ця подія ще раз підкреслює структурні ризики DeFi позичальницьких протоколів у поєднанні з низьколіквідними токенами та затримками TWAP оракулів — коли зловмисник має достатньо часу і ресурсів для повільного накопичення позицій, захисні механізми обмеження пропозиції стають безсилі.