Автор: Гу Юй, ChainCatcher
Хакеры — смертельный враг любого DeFi-протокола. Большинство DeFi-проектов после потери миллионов долларов в результате атак быстро приходят в упадок и исчезают. Однако Venus Protocol, являющийся ведущим кредитным протоколом BNB Chain и внутренним инкубаторским проектом Binance, является редким исключением.
Venus изначально разрабатывался командой Swipe, приобретённой Binance, и был запущен в сети BNB Chain в следующем месяце после запуска основной сети в 2020 году. Он быстро стал крупнейшим по объёму заблокированных активов и численности пользователей кредитным протоколом на BNB Chain. Согласно данным RootData, текущая FDV токена Venus составляет 94 миллиона долларов, а TVL — 1,47 миллиарда долларов.
Недавно Venus снова стал целью хакерской атаки. Согласно внутреннему разбору команды, злоумышленники с июня 2025 года медленно накапливали токены THE через обычные депозиты, в итоге удерживая около 12,2 миллиона THE на сумму примерно 2,4 миллиона долларов.
15 марта атака привела к тому, что все токены THE были заложены в кредитный контракт в качестве залога, а благодаря низкой ликвидности THE на блокчейне и задержкам TWAP-оракулов злоумышленники использовали рекурсивное манипулирование ценой для получения кредитов на миллионы долларов в BTC, BNB, CAKE и других активах.
Падение цены THE вызвало цепную ликвидацию, что в конечном итоге привело к убыткам Venus примерно на 2,15 миллиона долларов. За последние несколько лет Venus почти ежегодно подвергается хакерским атакам, особенно атакам на оракулы, что привело к накоплению более 100 миллионов долларов плохих долгов.
Инцидент с манипуляцией цен на оракуле XVS
В мае 2021 года злоумышленник использовал недостаточную ликвидность токена XVS на централизованных биржах (в основном Binance), чтобы за короткое время поднять цену XVS с около 70 до более 140 долларов. Затем он заложил свои XVS в протоколе Venus и взял крупные кредиты под залог высококачественных активов (около 2000 BTC и 5700 ETH).
После этого цена XVS резко упала до 31 доллара, вызвав массовую ликвидацию. Из-за недостаточной ликвидности рынка на ликвидацию пришлось потратить более 95 миллионов долларов, что привело к значительным убыткам протокола.
После этого команда протокола объявила о выходе команды Swipe из управления, а управление перешло к новому совету, сформированному сообществом, хотя проект всё ещё имеет сильные связи с Binance.
Крах LUNA
В мае 2022 года во время краха LUNA цена токена за короткое время упала ниже 0,1 доллара. Chainlink оракул перестал обновлять цену после достижения определенного порога (0,10 доллара), из-за чего Venus продолжал принимать LUNA по ошибочной высокой цене.
Злоумышленники, обнаружив уязвимость, купили на вторичном рынке большое количество LUNA по низкой цене и заложили их в Venus, что привело к образованию убытков более 11,2 миллиона долларов.
Инцидент с Binance Oracle
В декабре 2023 года из-за использования данных оракулов Binance в изолированном пуле snBNB с низкой ликвидностью злоумышленник купил snBNB на PancakeSwap, где из-за слабой глубины рынка цена резко взлетела до абсурдных уровней.
Злоумышленник заложил 0,49 snBNB и взял кредиты почти на все доступные активы пула (включая WBNB, BNBx, ankrBNB), общая стоимость которых составила около 274 тысяч долларов, после чего вывел их через межцепочные мосты. В итоге управление Venus предложило использовать казну для полного покрытия убытков.
Манипуляция ценой wUSDM
В феврале 2024 года злоумышленник использовал уязвимость протокола ERC-4626, чтобы искусственно поднять цену стабильной монеты wUSDM, выпущенной Mountain Protocol, до 1,7 доллара. Затем он заложил небольшое количество wUSDM в Venus.
Из-за манипуляции оракул зафиксировал завышенную цену, и злоумышленник взял кредиты под залог этих активов, а также вывел активы, такие как USDC и ETH. Когда цена wUSDM вернулась к норме (1 доллар), злоумышленник уже вывел заемные средства, и после ликвидации возникли убытки примерно на 716 тысяч долларов.
Гражданские споры и управление
Помимо вышеописанных атак, в сентябре 2021 года в Venus произошел инцидент с управлением, вызвавший общественные сомнения. Тогда пользователь предложил создать команду Bravo с равными правами голосования и финансирования, обещая раздать 900 тысяч XVS (на сумму около 29 миллионов долларов) за поддержку.
Инициатор, предположительно, обещал раздать токены для стимулирования голосов. В итоге предложение было одобрено 1,29 миллионами голосов «за» и 1,19 миллионами «против». Однако команда Venus «отменила» решение, чтобы предотвратить контроль со стороны анонимных участников через взятки. Это один из немногих случаев, когда предложение было одобрено, но не реализовано.
В сентябре 2025 года также произошел инцидент с потерей более 13 миллионов долларов из-за взлома интерфейса пользователя, вызванного подделкой фронтенда, что привело к подписанию злоумышленником транзакции делегирования (delegate), а не уязвимости самого протокола.
Почему Venus — «выживший»
Анализируя эти инциденты, можно сказать, что Venus — редкий «выживший» в криптопространстве, возможно, самый опытный проект в области защиты от хакерских атак. Это во многом обусловлено поддержкой Binance, которая обеспечивает ресурсы и репутацию проекта. Даже после многочисленных инцидентов Binance продолжает привлекать пользователей к Venus для депозитов с более высокой доходностью.
Статистика TVL на блокчейне Venus по данным: DeFillama
Известно, что Binance обладает абсолютным доминированием в экосистеме BNB Chain. В качестве основного партнера Binance в области кредитования, Venus пользуется преимуществами особой поддержки и гарантий, что делает его более устойчивым, несмотря на потенциальные риски.
С точки зрения отрасли, уязвимость DeFi проявляется в этих случаях. Манипуляции оракулов, низкая ликвидность, ценовые манипуляции и уязвимости в механизмах управления — все это неоднократно случалось в истории Venus и других DeFi-проектов.
В условиях высокой автоматизации системы DeFi, даже одна ошибка в проектировании может позволить злоумышленнику использовать ценовые, ликвидностные или временные разрывы для сложных арбитражных атак.
Способность Venus выживать после нескольких кризисов во многом связана с сильной поддержкой экосистемы и возможностями компенсации убытков. Однако для большинства DeFi-проектов одна атака на десятки миллионов долларов зачастую означает их окончательный крах.
Исключительность Venus подтверждает роль крупных игроков в защите проекта, одновременно подчеркивая уязвимость системы безопасности DeFi — когда безопасность зависит от «гигантов», а не от встроенных механизмов защиты протокола, — настоящая безопасность DeFi еще далека.
