Ang governance token ng Venus (XVS), isang money market batay sa BNB Chain na may kabuuang halagang $1.4 bilyon na nakaputol, ay bumaba ng higit sa 9% sa loob ng 24 oras matapos ang isang exploit na nagiwan sa kanya ng $2.15 milyon na masamang utang.
Ang pagbaba ay nangyari sa gitna ng malawakang pagbebenta ng mga asset na may panganib na nakikita ang mas malawak na index ng CoinDesk 20 (CD20) na nawala ng 4.6% ng halaga nito sa parehong panahon.
Ang pagpapalabas, na naganap noong Marso 16, ay hindi tila nakakaapekto sa mga presyo ng XVS hanggang sa ipakita ng pagsusuri na ang mga malalaking tagapag-angkop, kabilang ang mga wallet na kaugnay kay Justin Sun, ay naglipat ng malalaking amount patungo sa exchange.
Sinabi ni Venus na ang pagpapalabas, sa kanilang merkado na Thena, ay nag-iwan ng halos $2.15 milyon na masamang utang o pautang na hindi na kayang makuha ng sistema.
Ang attacker, ayon sa protokolo, ay nag-spent ng halos siyam na buwan upang makalikom ng malaking position sa THE token ng Thena. Ang pagkakalikom na ito, ayon sa PeckShield, ay pinagbayaran ng 7,400 ETH na nalikom mula sa mixing protocol na Tornado Cash.
Ang attacker ay nagdonate ng higit sa 36 milyong THE diretso sa vTHE contract, na naglilipas sa mga normal na pagsusuri sa kapasidad at nagpataas ng exchange rate ng merkado ng halos 3.8 beses. Sinabi ng Venus na ang pagkakamali sa code na nagbigay-daan sa attacker na laktawan ang mga pagsusuring ito ay pinagsasara na.
Sa pamamagitan ng mas mataas na halaga sa papel, ang attacker ay nag-post ng THE bilang collateral, nag-borrow ng iba pang assets at bumili ng higit pang THE sa isang makitid na merkado, ayon sa Venus.
Ang pagbili ay nakatulong na itaas ang THE mula sa halos $0.26 papunta sa malapit sa $0.56. Sabi ni Venus, hindi ito isang flash-loan attack, patuloy na gumagana ang kanilang mga oracle at hindi naapektuhan ang Venus Flux.
Kapag ibinenta ng attacker ang THE pagkatapos, bumaba ang presyo ng higit sa 17% sa loob ng higit sa isang araw at sumunod ang liquidation. Analysis ay naglalagay ng halaga na tinanggal bago ang liquidation sa halos $3.7 milyon hanggang $5.8 milyon, kasama ang mga ari-arian tulad ng tokenized bitcoin, BNB, at stablecoins na kinuha.
Ang pinsala ay karamihan ay limitado sa THE token at, sa mas maliit na antas, sa CAKE. Sinabi rin nito na wala pang nawalang pera ng user labas sa mga apektadong pool.
Sinuspensyon ng protokolo ang pag-borrow at pag-withdraw ng THE, binawasan ang halaga ng collateral ng THE sa zero, at pinagtigil ang mga patakaran sa iba pang mga merkado na itinuturing na may panganib bilang tugon sa insidente. Ang mga merkado na may panganib ay kasama ang mga para sa BCH$457.10, LTC$55.40, aave AAVE$114.90, at iba pa.
Ang adres na nag-atake ay na-flag na ng komunidad bago ang insidente. Hindi gumawa ng aksyon ang Venus dahil “hindi siniraan ang anumang patakaran, at hindi nangyari ang anumang exploit,” ayon sa kanila.
“Ang Venus ay isang decentralized na protokolo. Bilang isang permissionless na protokolo, hindi namin kayang at hindi dapat i-freeze o i-blacklist ang mga address batay lamang sa pagdududa,” isinulat ng protokolo sa social media. “Ito ay isang tensyon na inherent sa DeFi, at isa ito na seryosong tinatanggap namin.”
Inaasahan na desisyunan ng governance kung paano papalitan ang pagkawala sa pamamagitan ng risk fund ng Venus.