Venus Protocol Замерзла семи ринків після експлуатації на $3.7M через низьколіквідний токен THE THENA

Venus Protocol, найбільший ринок кредитування на BNB Chain, зазнав витоку на суму 3,7 мільйона доларів 15 березня 2026 року після того, як зловмисник маніпулював ціною низьколіквідного токена THE від THENA через дев’ятимісячну атаку з обмеженням пропозиції.

Ця інцидент, у результаті якого протокол зазнав приблизно 2,15 мільйона доларів збитків у поганих боргах, змусив Venus знизити коефіцієнти застави до нуля на семи додаткових ринках як запобіжний захід проти концентраційного ризику.

Зловмисник, фінансований 7400 ETH з криптоміксеру Tornado Cash, використав низьку ліквідність THE на Venus для завищення її ціни з 0,27 до майже 5 доларів, після чого ліквідація спричинила падіння до 0,24 долара.

Методика атаки: дев’ятимісячне накопичення та маніпуляція оракулом

Дослідники з безпеки та менеджер ризиків Venus, Allez Labs, детально описали складний механізм атаки, який обійшов заходи безпеки протоколу за допомогою багатофазної стратегії.

Фаза «повільного і низького накопичення»

Починаючи з червня 2025 року, зловмисник поступово накопичував токени THE через звичайні канали депозиту протягом приблизно дев’яти місяців. Ця стратегія дозволила їм зібрати 84% ліміту пропозиції — приблизно 12,2 мільйона THE — без сповіщень про ризик.

Обхід обмеження пропозиції через прямий переказ

15 березня зловмисник виконав атаку, перерахувавши THE безпосередньо на контракт vTHE замість депозиту через стандартний процес емінгу. Ця техніка «атакування пожертвою», відома у вразливості протоколів, що є форком Compound, миттєво збільшила офіційний обсяг пропозиції до 3,67 разів від ліміту, створюючи величезну заставну базу.

Рекурсивна маніпуляція ціною

Маючи надмірну заставу, зловмисник використав дуже низьку ліквідність THE у мережі та затримки оракула TWAP (Time-Weighted Average Price). Вони почали рекурсивний цикл:

• внесення завищеної застави THE

• позичання інших активів (включно з BTCB, CAKE і BNB)

• використання позичених коштів для купівлі більшої кількості THE у мережі

• очікування оновлення TWAP для відображення маніпульованих вищих цін

Зловмисник успішно позичив приблизно 6,67 мільйонів CAKE, 2801 BNB, 1,58 мільйонів USDC і 20 BTCB, перш ніж механізми ліквідації спрацювали.

Надзвичайні заходи щодо управління ризиками: замороження застави на семи ринках

У відповідь на витік та для обмеження потенційного системного ризику протокол Venus запровадив екстрені зміни параметрів, спрямовані на ринки з високою концентрацією застави.

Ринки, що піддалися запобіжному замороженню

Venus знизив фактор застави (CF) до нуля на семи ринках, визначених як вразливі через перевищення концентрації застави одним користувачем понад 60%:

Ринок

Дія

Обґрунтування

BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD

Зменшення фактора застави до 0

Високий ризик концентрації; один користувач тримав надмірну заставу

Всі інші ринки Venus залишаються у роботі та не піддалися заходам безпеки.

Критерії вразливості ринку

Запобіжні заходи торкнулися ринків із ознаками:

• ринкова капіталізація менше 2 мільярдів доларів

• щоденний обсяг торгів менше 100 мільйонів доларів

• загальна вартість заблокованих активів (TVL) на DEX менше 40 мільйонів доларів

• концентрація застави одним користувачем понад 60%

Вплив інциденту та контекст протоколу

Цей витік додає до історії проблем безпеки Venus Protocol, яка з 2021 року накопичила погані борги через попередні інциденти.

Історія накопичення поганих боргів

• Маніпуляція XVS у 2021 році: понад 95 мільйонів доларів у поганих боргах через маніпуляцію ціною власного токена XVS

• Крах Terra/LUNA у 2022 році: 14 мільйонів доларів у поганих боргах

• Злом мосту BNB Chain у 2022 році: викрадено BNB, використані для позичання 150 мільйонів доларів у стабільних монетах

• Лютий 2025 року — атака «пожертва»: 700 000 доларів у поганих боргах на розгортанні Venus у ZKSync за аналогічною механікою

Загальна вартість заблокованих активів (TVL) протоколу знизилася з піку у 7 мільярдів доларів до приблизно 1,47 мільярда після цих інцидентів.

THENA підтвердила, що її смарт-контракти не були зламані під час атаки, і кошти користувачів на платформі залишаються у безпеці.

Тривають розслідування та майбутні звіти

Venus Protocol заявив про свою прихильність до прозорості, пообіцявши опублікувати всебічний звіт після завершення розслідування.

Allez Labs, партнер з управління ризиками Venus, продовжує аналізувати вектор атаки та поділився попередніми висновками, що описують чотири етапи експлуатації.

Часті запитання

Що таке «атака з обмеженням пропозиції» у DeFi-кредитуванні?

Атака з обмеженням пропозиції обійшла механізм безпеки протоколу, який обмежує максимальну кількість одного активу, що може бути використаний як заставу. У цьому випадку зловмисник обійшов обмеження Venus, перерахувавши THE безпосередньо на контракт протоколу замість депозиту через стандартні канали. Це дозволило створити заставну позицію у 3,67 разів більшу за ліміт, яку потім використали для позичання надмірних активів після маніпуляції ціною оракула.

Які активи були викрадені під час витоку Venus Protocol?

Зловмисник позичив приблизно 5,07 мільйонів доларів активів, використовуючи завищену заставу THE. Це включає 2172 BNB, 1,516 мільйонів CAKE і 20 BTCB. Однак через процеси on-chain ліквідації протокол зазнав приблизно 2,15 мільйона доларів у поганих боргах, що складається з близько 1,18 мільйонів CAKE і 1,84 мільйонів THE, які не були повернені.

Як протокол Venus реагував на витік?

Venus швидко застосував екстрені заходи, зупинивши всі позики та зняття THE. Як широка запобіжна міра проти потенційного концентраційного ризику, протокол знизив коефіцієнти застави до нуля на семи додаткових ринках: Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL), Trust Wallet Token (TWT) і lisUSD. Всі інші ринки продовжують працювати у звичайному режимі.