Venus Protocol потерял $2 млн из-за манипуляций с токеном THE

хакеры hackers, перемещение средств 2

15 марта лендинговая платформа Venus Protocol на BNB Chain подверглась хакерской атаке. Целью злоумышленника стал токен THE от DeFi-проекта Thena. 

Our risk manager @AllezLabs shares what we know so far. We will continue to provide updates as our investigation progresses. https://t.co/VeBsdzDMXH

Мошенник воспользовался низкой ликвидностью THE и провернул классическую манипуляцию ценовым оракулом. Он вносил токен как залог, брал под него взаймы другие активы, сразу же покупал на них дополнительные THE и повторял цикл. Все действия строго синхронизировались с моментами обновления данных временного оракула.

Возможность для подобного вектора атаки появилась после того, как Venus добавила THE в список залоговых активов своего основного пула.

Детали атаки

Одним из первых на инцидент обратил внимание ончейн-специалист Вэйлинь Ли. По его словам, хакер искусственно поднял курс монеты с $0,27 до почти $5. 

https://t.co/RV18WHJalA

Эксперт сравнил атаку с взломом DeFi-платформы Mango Markets, который произошел в 2022 году

Для обхода лимита на депонирование THE в Venus злоумышленник применил так называемую donation attack. Он перевел токены напрямую в смарт-контракт vTHE в обход стандартной процедуры выпуска. Это искусственно завысило обменный курс платформы и позволило обойти установленное ограничение.

После первого раунда заимствований временной оракул Venus обновил цену THE до $0,5. Показатель существенно отставал от спотовых котировок, но почти вдвое превышал исходный уровень. 

Атакующий попытался раскрутить цикл дальше, докупая THE на заемные средства, но не выдержал давления продавцов. Показатель здоровья (health factor) опустился почти до единицы, и протокол ликвидировал позицию.

Номинальное обеспечение достигало $30 млн, но рыночной глубины для такой продажи не нашлось — THE рухнул в пустой стакан. После ликвидации цена упала до $0,24.

Хакер ничего не заработал

По словам Ли, хакер практически ничего не заработал и, вероятно, даже ушел в минус. Однако он не исключил, что злоумышленник хеджировался через бессрочные фьючерсы на сторонник площадках. 

Аналитик под ником EmberCN оценил невозвратный долг Venus в $2,15 млн — это непогашенные займы в размере 1,18 млн CAKE и 1,84 млн THE. Он также обратил внимание, что стартовый капитал атакующего (7400 ETH) поступил из миксера Tornado Cash.

一个从 Tornado 收到 7400 枚 ETH 的地址 (黑客?),主导了今天晚上 CAKE 和 THE 的抵押品清算事件。
导致了 Venus 产生约 $215 万的清算亏空 (118 万 CAKE+184 万 THE),而黑客从 Venus 拿到了约 $507 万资金 (2,172 BNB+151.6 万 CAKE+20 BTC)。

1⃣先是通过 0x7a7…234 地址从 Tornado 收到 7,400… pic.twitter.com/W6YwQpKJQF

«Он занял 9,92 млн USDT, чтобы устроить переполох, но активы, выведенные из Venus, стоили всего $5,07 млн. В ончейне картина убыточная, но я подозреваю, что он играл на понижение THE через ликвидации и зарабатывал на CEX», — отметил эксперт. 

Напомним, в марте 2025 года Venus потерял более $716 000 из-за аналогичной атаки с манипулированием оракула. 

Источник: https://forklog.com/news/venus-protocol-poteryal-2-mln-iz-za-manipulyatsij-s-tokenom-the

Наверх