15 березня лендингова платформа Venus Protocol у BNB Chain зазнала хакерської атаки. Мішенню зловмисника став токен THE від DeFi-проєкту Thena.
Наш менеджер з ризиків @AllezLabs ділиться тим, що нам відомо наразі. Ми й надалі надаватимемо оновлення у міру просування розслідування. https://t.co/VeBsdzDMXH
Зловмисник скористався низькою ліквідністю THE та виконав класичну маніпуляцію ціновим оракулом. Він вносив токен як заставу, брав під нього позику в інших активах, одразу купував на них додаткові THE і повторював цикл. Усі дії чітко синхронізувалися з моментами оновлення даних тимчасового оракула.
Можливість для такого вектора атаки з’явилася після того, як Venus додав THE до списку заставних активів свого основного пулу.
Деталі атаки
Одним із перших на інцидент звернув увагу ончейн-спеціаліст Вейлінь Лі. За його словами, хакер штучно підняв курс монети з $0,27 до майже $5.
Експерт порівняв атаку зі зломом DeFi-платформи Mango Markets, що стався у 2022 році.
Для обходу ліміту на депонування THE у Venus зловмисник застосував так звану donation attack. Він перевів токени напряму в смартконтракт vTHE в обхід стандартної процедури випуску. Це штучно завищило обмінний курс платформи та дозволило обійти встановлене обмеження.
Після першого раунду запозичень тимчасовий оракул Venus оновив ціну THE до $0,5. Показник суттєво відставав від спотових котирувань, але майже вдвічі перевищував початковий рівень.
Атакуючий спробував розкрутити цикл далі, докуповуючи THE на позичені кошти, але не витримав тиску продавців. Коефіцієнт здоров’я (health factor) опустився майже до одиниці, і протокол ліквідував позицію.
Номінальне забезпечення сягало $30 млн, але ринкової глибини для такого продажу не знайшлося — THE обвалився в порожній стакан. Після ліквідації ціна знизилася до $0,24.
Хакер нічого не заробив
За словами Лі, хакер практично нічого не заробив і, ймовірно, навіть пішов у мінус. Втім він не виключив, що зловмисник хеджувався через перпетуальні ф’ючерси на сторонніх майданчиках.
Аналітик під ніком EmberCN оцінив невозвратний борг Venus у $2,15 млн — це непогашені позики на 1,18 млн CAKE і 1,84 млн THE. Він також звернув увагу, що стартовий капітал атакуючого (7400 ETH) надійшов із міксера Tornado Cash.
Адреса, що отримала 7400 ETH із Tornado (хакер?), була рушійною у вечірніх ліквідаціях застав за CAKE і THE. Це призвело до того, що у Venus утворився приблизно $2,15 млн дефіцит від ліквідацій (1,18 млн CAKE + 1,84 млн THE), тоді як хакер отримав із Venus близько $5,07 млн коштів (2 172 BNB + 1,516 млн CAKE + 20 BTC).
«Він позичив 9,92 млн USDT, щоб влаштувати переполох, але активи, виведені з Venus, коштували всього $5,07 млн. В ончейні картина збиткова, але я підозрюю, що він грав на зниження THE через ліквідації й заробляв на CEX», — зазначив експерт.
Нагадаємо, у березні 2025 року Venus втратив понад $716 000 через аналогічну атаку з маніпулюванням оракулом.
Читайте ForkLog UA в соціальних мережах
Знайшли помилку в тексті? Виділіть її та натисніть CTRL+ENTER
