#VenusProtocolSuspectedFlashLoanAttack

تعرض نظام التمويل اللامركزي (DeFi) لاهتزاز كبير في 15 مارس 2026، عندما أصبحت بروتوكول Venus، وهي منصة إقراض رائدة على بلوكتشين BNB، ضحية لهجوم متطور أسفر عن خسارة أكثر من 3.7 مليون دولار من الأصول الرقمية. لم يكن هذا اختراقاً بسيطاً بل عملية معقدة استمرت لأشهر واستغلت السيولة المنخفضة وآليات الأوراكل.

إليك تحليل شامل لما حدث وكيفية تنفيذه والعواقب التالية.

📅 الهدف: بروتوكول Venus

Venus هو بروتوكول إقراض لامركزي حيث يمكن للمستخدمين توفير الضمانات لاقتراض أصول أخرى. استهدف المهاجم Core Pool الخاص به باستخدام Thena (THE)، وهو رمز ذو سيولة منخفضة نسبياً.

🕵️ خطوة بخطوة: تشريح الاستغلال

جمع الهجوم بين استراتيجية تراكم طويلة الأجل ومعالجة سعرية قصيرة الأجل باستخدام قرض فلاش.

المرحلة 1: اللعبة الطويلة (يونيو 2025 - مارس 2026)
لعب المهاجم اللعبة الطويلة. بدءاً من يونيو 2025، قام بتجميع رموز THE ببطء من خلال القنوات العادية. على مدار تسعة أشهر، جمع حوالي 84% من حد إمدادات البروتوكول THE (حوالي 14.5 مليون رمز).

المرحلة 2: الاستغلال (15 مارس 2026)
هنا يأتي دور عنصر "قرض الفلاش المشبوه".

1. تجاوز حد الإمداد: بدلاً من الإيداع العادي، قام المهاجم بتحويل حيازات THE الضخمة مباشرة إلى عقد البروتوكول، متجاوزاً حدود الإمداد المعيارية. وقد أنشأ هذا مركز ضمان قدره 53.2 مليون THE—أي ما يقرب من 3.7 مرات الحد المسموح به.
2. معالجة السعر: مع وجود هذا الضمان المتضخم بشكل مصطنع في مكانه، قام المهاجم بإجراء حلقة تكرارية:
· إيداع THE.
· اقتراض أصول أخرى مقابل قيمة THE المتضخمة.
· استخدام الأصول المقترضة لشراء المزيد من THE على بورصات لامركزية (DEXs)، مما يؤدي إلى ارتفاع سعره.
· انتظار تحديث أوراكل TWAP (السعر المرجح بالوقت)، الذي يعكس هذا السعر الجديد والأعلى.
· دفعت هذه الدورة سعر THE من 0.263$ إلى ما يقرب من 0.563$، مما زاد من تضخيم قيمة الضمان.
3. تصريف الأصول: مع أن قيمة الضمان مرتفعة بشكل مصطنع، قام المهاجم باقتراض أصول مهمة من مجموعة Venus، بما في ذلك:
· ~20 BTCB (Bitcoin الملفوفة)
· ~1.5 مليون رمز CAKE
· ~200 BNB
· ~1.58 مليون USDC
4. الخروج: بمجرد تصريف الأصول، قام المهاجم بإغراق الحيازات المتبقية من THE، مما أدى إلى انهيار سعره إلى الواقع (حوالي 0.22$). وترك هذا Venus مع كومة من ضمانات THE التي لا تساوي شيئاً الآن و**ديون سيئة تقدر بحوالي 2.15 مليون دولار.

⚡️ ما هو دور قرض الفلاش؟

بينما يُطلق عليه "هجوم قرض فلاش مشبوه"، من الضروري فهم الآلية. يسمح قرض الفلاش للمستخدم باقتراض أموال ضخمة بدون ضمان مقدم، طالما تم إرجاع الأموال ضمن نفس كتلة البلوكتشين.

· هل تم استخدامه لبدء الهجوم؟ التراكم الأولي يشير إلى موقف طويل الأجل.
· هل تم استخدامه لتضخيم الهجوم؟ نعم. كان الشراء التكراري لـ THE لمعالجة السعر مموّلاً على الأرجح بقروض الفلاش، مما سمح للمهاجم بالسيطرة على السوق بصفر مخاطرة رأس مال أولية.

📉 العواقب الفورية

· فوضى السوق: انهار سعر THE بأكثر من 17% في 24 ساعة، مما تسبب في تصفيات ضخمة. ارتفع حجم التداول لـ THE بأكثر من 5500% حيث رد السوق.
· استجابة البروتوكول: تصرفت Venus بسرعة لمنع المزيد من الضرر:
· إيقاف جميع $THE الاقتراض والسحب(.
· تقليل عامل الضمان )CF( إلى صفر لسبع أسواق عالية المخاطر )BCH, LTC, UNI, AAVE, FIL, TWT, و lisUSD#DeFi حيث كان مستخدم واحد يحتفظ بحصة غير متناسبة من الضمان.
· تأكيد أن جميع الأسواق الأخرى تبقى سليمة وتعمل.

🔒 النقاط الرئيسية لـ DeFi

يسلط هذا الحادث الضوء على نقاط ضعف مستمرة في DeFi:

1. السيولة المنخفضة = مخاطرة عالية: الرموز ذات السيولة المنخفضة هي أهداف أولية لمعالجة الأسعار.
2. تأخر الأوراكل: الاعتماد على أوراكل TWAP القياسية يمكن استغلاله إذا لم يتم تحديثه بسرعة كافية ليعكس المعالجة في الوقت الفعلي.
3. الحيلة الطويلة: لا تحدث جميع الهجمات في كتلة واحدة؛ جمع هذا الهجوم بين سنة من التحضير مع معاملة نهائية متفجرة.

أعلنت Venus أنها ستصدر تقرير كامل بمجرد انتهاء التحقيق. في الوقت الحالي، هذا بمثابة تذكير صارخ آخر بالمخاطر داخل الأنظمة المالية بدون إذن.

#VenusProtocol #CryptoNews #BNBChain