Експлуатація Venus на ланцюзі BNB: втрати в розмірі $2.15 млн та крах XVS

За останні години експлойт Venus підкреслив вразливості ринків DeFi на BNB Chain, що вплинуло на керівний токен XVS та широку екосистему.

Деталі експлойту та негайний вплив на XVS

Протокол кредитування Venus був атакований 16 березня, що спричинило приблизно 2,15 мільйона доларів збитків у вигляді поганого боргу та зниження вартості керівного токена XVS більш ніж на 9% за наступні 24 години.

Протокол, активний на BNB Chain із загальною заблокованою вартістю понад 1,4 мільярда доларів, побачив посилення тиску на продажі токена XVS лише після аналізу на блокчейні, який виявив значні рухи великих холдерів, включаючи гаманці, пов’язані з Джастіном Саном.

Тим часом, падіння відбулося у ширшому контексті ризик-аверсії: індекс CoinDesk 20 за той самий період втратив близько 4,6%, що свідчить про загальну корекцію цифрових активів.

Як стався експлойт Venus у ринку Thena

Атака була спрямована на ринок Thena в межах протоколу. За даними Venus, зловмисник витратив близько дев’яти місяців на накопичення значної позиції у токені THE від Thena, використовуючи приблизно 7400 ETH, отриманих із міксера Tornado Cash, повідомила аналітична компанія PeckShield.

Після цього зловмисник передав понад 36 мільйонів токенів THE безпосередньо у контракт vTHE. Ця операція обійшла звичайний контроль обмежень і збільшила обмінний курс на ринку приблизно у 3,8 рази, створюючи завищену балансову вартість.

З цією більшою теоретичною вартістю зловмисник використав THE як заставу для позик інших активів із протоколу. Крім того, він продовжував купувати THE на ринку з низькою ліквідністю, посилюючи ціновий ефект.

Рух цін THE та реалізація прибутку

Завдяки цим покупкам ціна THE зросла з приблизно $0,26 до майже $0,56. Venus уточнив, що це не було атакою з використанням флеш-лоанів, ціноорієнтири продовжували працювати правильно, а модуль Venus Flux не був уражений.

Однак, коли зловмисник почав продавати THE, ціна впала більш ніж на 17% менш ніж за добу, викликавши серію ліквідацій. Аналізи оцінюють, що вартість, вилучена перед ліквідаціями, коливалася від 3,7 до 5,8 мільйонів доларів у вигляді активів, таких як токенізований біткоїн, BNB і стейблкоїни.

Загалом, прямі збитки були переважно зосереджені на токені THE і, меншою мірою, на CAKE. Venus підкреслив, що втрат користувачів поза межами залучених пулів не було.

Реакція протоколу Venus та заходи щодо запобігання

У відповідь на інцидент протокол припинив нові позики та зняття, пов’язані з THE, скинув вартість застави, призначену для токена, та посилив ризикові параметри на інших ринках, які вважаються потенційно вразливими.

До таких ринків належать BCH, LTC, AAVE та інші активи. Крім того, Venus заявив, що помилка у коді, яка дозволила обійти контроль обмежень у контракті vTHE, виправляється, щоб запобігти подібним випадкам у майбутньому.

Проте протокол пояснив, що адреса зловмисника вже була позначена спільнотою до інциденту. Однак Venus не втручався, оскільки на момент звіту не було порушень правил або фактичних експлойтів.

Децентралізація, управління та покриття збитків

Інцидент знову підняв питання про безпосередню природу DeFi-протоколів. Venus наголосив, що як децентралізований протокол він не може і не повинен блокувати або чорнити адреси лише на підставі підозр, підкреслюючи структурний конфлікт між безпекою та відкритістю.

Управління платформою тепер має вирішити, як покрити поганий борг приблизно у 2,15 мільйона доларів, враховуючи використання ризикового фонду протоколу. Цей етап буде вирішальним для оцінки стійкості моделі управління ризиками та здатності витримати екстремальні події.

Крім того, цей випадок став новим дослідженням для операторів DeFi, які матимуть справу з динамікою повільного накопичення позицій, маніпуляціями внутрішніх ставок і використанням прогалин у системах безпеки забезпечених ринків.