Эксплуатация Venus в сети BNB Chain: убытки в размере $2.15 млн и падение XVS

За последние часы уязвимость Venus выявила слабые места рынков DeFi на BNB Chain, что повлияло на управляющий токен XVS и более широкую экосистему.

Подробности уязвимости и немедленные последствия для XVS

Протокол кредитования Venus был взломан 16 марта, что привело к образованию примерно 2,15 миллиона долларов плохого долга и снижению стоимости управляющего токена XVS более чем на 9% за последующие 24 часа.

Протокол, активный на BNB Chain с общим заблокированным объемом более 1,4 миллиарда долларов, столкнулся с усилением давления на продажу токена XVS только после анализа на блокчейне, который выявил значительные перемещения крупных держателей, включая кошельки, связанные с Джастином Саном.

Между тем, снижение стоимости произошло в контексте общего снижения риска: индекс CoinDesk 20 за тот же период потерял около 4,6%, что указывает на общую коррекцию цифровых активов.

Как произошла уязвимость Venus в рынке Thena

Атака была направлена на рынок Thena внутри протокола. Согласно информации Venus, злоумышленник за девять месяцев накопил значительную позицию в токене THE проекта Thena, используя примерно 7400 ETH, полученных из миксера Tornado Cash, как сообщает аналитическая фирма PeckShield.

Затем злоумышленник передал более 36 миллионов токенов THE напрямую в контракт vTHE. Эта операция обошла обычные ограничения по лимитам и увеличила рыночный курс примерно в 3,8 раза, создав завышенную балансовую стоимость.

При этом, исходя из этого более высокой теоретической стоимости, злоумышленник использовал THE в качестве залога для заимствования других активов из протокола. Кроме того, он продолжал покупать THE на рынке с низкой ликвидностью, что усиливало ценовой эффект.

Движение цены THE и реализация прибыли

Покупки подняли цену THE с примерно $0,26 до почти $0,56. Venus уточнил, что это не атака с использованием флеш-лоана, что орacles цен продолжали работать корректно, и что модуль Venus Flux не пострадал.

Однако, когда злоумышленник начал продавать THE, цена упала более чем на 17% менее чем за сутки, что вызвало серию ликвидаций. Анализы оценивают, что сумма, выведенная до ликвидаций, составила от 3,7 до 5,8 миллиона долларов в виде активов, таких как токенизированный биткоин, BNB и стейблкоины.

В целом, прямой ущерб в основном сосредоточен на токене THE и в меньшей степени на CAKE. Venus подчеркнул, что потерь средств пользователей вне вовлеченных пулов не было.

Ответ протокола Venus и меры по устранению уязвимости

В ответ на инцидент протокол приостановил новые займы и выводы, связанные с THE, сбросил оценочную стоимость залога, связанного с этим токеном, и ужесточил параметры риска на других рынках, которые считаются потенциально уязвимыми.

К рынкам, признанным под угрозой, относятся BCH, LTC, AAVE и другие активы. Кроме того, Venus заявил, что ошибка в коде, позволявшая обходить лимитные ограничения в контракте vTHE, исправляется для предотвращения подобных случаев в будущем.

При этом протокол отметил, что адрес злоумышленника уже был отмечен сообществом до инцидента. Однако Venus не вмешивался, так как на момент отчета не было нарушений правил или фактических уязвимостей.

Децентрализация, управление и покрытие убытков

Инцидент вновь поднял вопрос о безразрешенной природе протоколов DeFi. Venus напомнил, что как децентрализованный протокол он не может и не должен блокировать или черный список адреса только на основании подозрений, подчеркивая структурное противоречие между безопасностью и открытостью.

Теперь управление платформой должно решить, как покрыть плохой долг примерно в 2,15 миллиона долларов, рассматривая использование фонда риска протокола. Этот этап будет ключевым для оценки устойчивости модели управления рисками и способности справляться с экстремальными событиями.

Кроме того, этот случай служит новым примером для операторов DeFi, которым предстоит иметь дело с медленным накоплением позиций, манипуляциями внутренними ставками и эксплуатацией уязвимостей в системах обеспечения залогов.