Криптокредитний протокол Venus, що працює у мережі BNB Chain, став жертвою складної атаки з маніпулюванням ціною токена THE. Внаслідок дій зловмисника в системі утворився “поганий борг” на суму близько $2,18 млн, а загальна сума викрадених активів склала приблизно $3,7 млн.
Про це розповідає ProIT
Механізм атаки та фінансові наслідки
За висновками аналітиків LookOnChain та BlockAid, хакер провів атаку за допомогою флеш-кредиту та низки складних операцій. Спершу він отримав 7400 ETH через Tornado Cash, які залишив у якості застави в протоколі Aave для отримання позики в розмірі майже $9,9 млн у стейблкоїнах. Далі ці кошти були використані для масованої купівлі токенів THE через декілька гаманців, що призвело до штучного підвищення ціни активу. Одночасно з цим зловмисник піднімав ціну THE на централізованих біржах, що дало змогу використати 36,1 млн токенів як заставу у Venus і отримати активи на $5,07 млн. Серед виведених активів були 2172 BNB, $1,5 млн у токенах CAKE та 20 BTC.
“Ми виявили незвичайну активність, пов’язану з пулом $THE, і активно проводимо розслідування. Наразі, схоже, що постраждали лише ринки $THE та $CAKE. Ми будемо ділитися оновленнями в міру просування розслідування. Дякуємо за ваше терпіння та підтримку”, — йдеться у офіційному зверненні Venus Protocol у X.
Після завершення маніпуляцій хакер розпочав продаж токенів THE на централізованих біржах, що спричинило обвал ціни та каскадні ліквідації у Venus. Це призвело до того, що вартість застави стала нижчою за суму позики, і в системі сформувався “поганий борг”. За оцінками експертів, основний прибуток зловмисник отримав за рахунок відкриття довгих позицій на зростанні ціни THE та коротких — перед обвалом на біржах.
Дії протоколу та рекомендації експертів
У відповідь на атаку команда Venus тимчасово призупинила позики та виведення токена THE, а також знизила коефіцієнти застави до нуля для окремих активів, у тому числі для стейблкоїна lisUSD. Нові обмеження було запроваджено для ринків із ринковою капіталізацією менше $2 млрд, добовим обсягом торгів менше $100 млн, TVL на децентралізованих біржах менше $40 млн та концентрацією застави понад 60% на одного користувача. Решта ринків Venus продовжують працювати у звичайному режимі. Експерти з кібербезпеки Blockaid наполегливо рекомендували користувачам утриматися від взаємодії з протоколом, не підписувати нові дозволи на делегування та відкликати вже надані дозволи.
Варто відзначити, що це не перший випадок серйозних втрат для Venus. З 2021 року протокол вже втратив понад $260 млн через зломи та експлойти. У вересні 2025 року роботу платформи було призупинено через фішингову атаку на великих користувачів. Цей інцидент ще раз підкреслює високі ризики маніпуляцій з низьколіквідними токенами у сфері DeFi та важливість контролю концентрації застави для запобігання каскадним ліквідаціям і значним фінансовим втратам.