Взлом Venus Protocol вызвал потерю $3.7 миллиона после манипуляции токена THE на BNB Chain

Новая уязвимость на ведущем рынке кредитования BNB Chain вновь подняла вопросы о управлении рисками в DeFi, поскольку последний взлом протокола Venus снова связан с недостатками оракулов и ликвидности.

Как разворачивалась манипуляция ценой на Venus

В воскресенье протокол Venus, доминирующая платформа кредитования на BNB Chain, был атакован с помощью сложной манипуляции ценой, сосредоточенной на THE — нативном токене Thena. Инцидент, затронувший конкретный рынок активов, выявил структурные слабости в процессе добавления залога и предположениях о ликвидности.

Злоумышленник использовал низкую ликвидность в блокчейне для повышения цены THE с примерно $0,27 до почти $5. Его стратегия заключалась в многократных депозитах токена в качестве залога, заимствовании других активов, покупке большего количества THE на заимствованные средства и повторении этого цикла. Кроме того, оракул цен Venus продолжал отслеживать искусственно завышенную рыночную стоимость в течение этих циклов.

Чтобы обойти лимит предложения THE на Venus, злоумышленник использовал технику атаки через пожертвование. Вместо стандартной функции депозита он переводил токены напрямую в смарт-контракт vTHE. Этот поток искажает внутренний обменный курс протокола, фактически нейтрализуя запланированные ограничения предложения и позволяя создавать чрезмерный залог.

Используя завышенный залог, злоумышленник вывел из протокола несколько активов. Он снял 6,67 миллиона CAKE, 1,58 миллиона USDC, 2801 BNB и 20 биткоинов за короткий промежуток времени, конвертируя манипулированную оценку THE в реальные активы через несколько ликвидных токенов.

Оценка убытков, плохой долг и экстренные меры

Общий ущерб от атаки превышает 3,7 миллиона долларов, сообщает Wu Blockchain. Однако не вся эта сумма остается в открытом положении. Независимый аналитик EmberCN оценил, что примерно 2,15 миллиона долларов остаются в виде плохого долга на Venus, состоящего из около 1,18 миллиона CAKE и 1,84 миллиона THE, которые больше не обеспечены залогом.

Адрес кошелька, связанный с операцией, изначально был пополнен 7400 ETH через Tornado Cash — сервис для повышения приватности криптовалютных транзакций. Однако использование таких инструментов распространено при сложных атаках и усложняет работу следователей и пострадавших протоколов по установлению ответственности и возврату средств.

В ответ протокол Venus объявил в X, что обнаружил «необычную активность» в пуле ликвидности THE. Команда быстро заблокировала все функции заимствования и снятия средств, связанные с THE, объяснив это как меры экстренной защиты, пока проводится внутренний и внешний аудит безопасности.

Торговые решения злоумышленника и возможные чистые убытки

Процесс эксплуатации не полностью соответствовал намерениям злоумышленника. После первого цикла заимствования оракул времени-взвешенной средней цены Venus скорректировал оценку THE примерно до $0,50, что значительно ниже почти $5, наблюдавшихся на спотовом рынке. Это снизило фактическую ценность залога внутри протокола.

Тем не менее, злоумышленник продолжил приобретать THE за заимствованный капитал, пытаясь удерживать завышенную цену и максимизировать заимствование. Однако давление продаж превысило возможности shallow orderbook. Здоровье аккаунта приблизилось к 1, что вызвало ликвидации и принудительную продажу залога в условиях быстро падающего рынка.

Обратный процесс произошел на рынке с почти нулевой глубиной. Цена THE упала примерно до $0,24, что даже ниже пред-атаки около $0,27. Исследователь безопасности на блокчейне Вэйлинь Ли, впервые публично указавший на инцидент, предположил, что злоумышленник, скорее всего, получил лишь ограниченную прибыль на цепочке и в конечном итоге мог понести чистый убыток.

На момент публикации THE торгуется около $0,2255, что на более чем 17% ниже за последние 24 часа. Такой резкий разворот подчеркивает, как экстремальная волатильность в неликвидных активах может изменить экономику, изначально казавшуюся прибыльной манипуляции.

Проблема плохого долга в Venus

Этот последний инцидент протокола Venus дополняет историю потерь, связанных с рыночной манипуляцией и конструкцией залога. В 2021 году схема с использованием нативного токена XVS принесла более $95 миллионов плохого долга, оставив протокол и его сообщество с серьезной дырой.

Затем, во время краха Terra/LUNA в 2022 году, Venus понес около $14 миллионов непокрытых обязательств. Эти потери были вызваны системным сбоем рынка, а не прямой эксплуатацией, что подчеркивает другую, связанную с рисками сторону в многоактивных платформах кредитования.

Более недавно, в феврале 2025 года, аналогичная атака через пожертвование поразила развертывание Venus на ZKSync. Злоумышленники использовали почти те же механизмы, что и в воскресенье, чтобы создать более $700 000 плохого долга. Повторение этого сценария в разных средах усилило внимание к тому, как протокол управляет добавлением залога и поведением в крайних случаях.

Риски, связанные с конструкцией на базе Compound, и игнорируемые предупреждения

Основная уязвимость, использованная здесь, не уникальна для Venus Protocol. Атака через пожертвование — это известная слабость в системах кредитования, основанных на форке Compound, где прямые переводы токенов в рынки с начислением процентов могут искажать учет, лежащий в основе оценки залога и логики ограничения предложения.

Важно отметить, что проверка безопасности Code4rena уже ранее выявила этот тип риска. Однако команда разработчиков, по сообщениям, тогда посчитала серьезность этого обнаружения недостаточной и решила не внедрять полное решение. Повторение почти идентичной атаки сейчас вызывает новую критику со стороны исследователей безопасности и пользователей.

Для рынков DeFi на BNB Chain и за их пределами последний взлом Venus подчеркивает, как известные теоретические уязвимости могут привести к реальным потерям, если их не устранить. В будущем, вероятно, усиление контроля за ликвидностью залога, источниками оракулов и техниками пожертвований станет ключевым для восстановления доверия.

В целом, атака на Venus с участием THE, включающая манипуляцию ценой, зависимость от оракула и использование вектора пожертвования для создания более $3,7 миллиона ущерба, вновь выявила долгосрочные структурные риски протоколов на базе Compound.