Le token de gouvernance de Venus (XVS), un marché monétaire basé sur la BNB Chain avec plus de 1,4 milliard de dollars en valeur totale verrouillée, a chuté de plus de 9 % en 24 heures après une exploitation qui lui a laissé 2,15 millions de dollars de créances douteuses.
Le retrait s'inscrit dans un contexte de vente généralisée d'actifs à risque, qui a vu l'indice CoinDesk 20 (CD20) perdre 4,6 % de sa valeur durant la même période.
L'exploitation, survenue le 16 mars, n'a apparemment pas affecté les prix de XVS jusqu'à ce qu'une analyse révèle que des détenteurs majeurs, y compris des wallets liés à Justin Sun, déplaçaient de grands montants vers des plateformes d'échange.
Venus said que l'exploitation, sur son marché Thena, a laissé environ 2,15 million de dollars de dettes impayées ou de prêts que le système ne peut plus récupérer.
L'attaquant, selon le protocole, a passé environ neuf mois à accumuler une grande position dans le token THE de Thena. Cette accumulation, selon PeckShield, a été financée avec 7 400 ETH retirés du protocole de mélange Tornado Cash.
L'attaquant a ensuite fait un don de plus de 36 millions de THE directement au contrat vTHE, en contournant les vérifications normales de plafond et en augmentant le taux de change du marché d'environ 3,8 fois. Venus a déclaré que la faille dans le code qui a permis à l'attaquant de contourner ces vérifications est en cours de fermeture.
Avec cette valeur papier plus élevée, l'attaquant a posté THE comme garantie, emprunté d'autres actifs et acheté davantage de THE sur un marché peu liquide, selon Venus.
L'achat a permis de faire passer THE d'environ 0,26 $ à près de 0,56 $. Venus a déclaré que ce n'était pas une attaque par emprunt flash, ses oracles ont continué de fonctionner et Venus Flux n'a pas été affecté.
Lorsque l'attaquant a vendu ultérieurement THE, le prix a chuté de plus de 17 % en moins d'une journée, suivie de liquidations. Analysis estime la valeur retirée avant les liquidations à environ 3,7 millions à 5,8 millions de dollars, avec des actifs incluant du bitcoin tokenisé, du BNB et des stablecoins ayant été saisis.
Les dégâts ont été principalement limités au token THE et, dans une moindre mesure, à CAKE. Il a également été indiqué qu'aucun fonds d'utilisateur n'a été perdu en dehors des piscines concernées.
Le protocole a suspendu les emprunts et les retraits de THE, réduit la valeur de la garantie de THE à zéro et renforcé les règles sur les autres marchés identifiés comme à risque en réponse à l'incident. Les marchés à risque incluent ceux pour BCH$457.10, LTC$55.40, aave AAVE$114.90, parmi d'autres.
L'adresse attaquante avait été signalée par la communauté avant l'incident. Venus n'a pas agi car « aucune règle n'avait été violée et aucune exploitation n'avait eu lieu », a-t-elle déclaré.
« Venus est un protocole décentralisé. En tant que protocole sans autorisation, nous ne pouvons ni ne devons geler ou mettre sur liste noire des adresses sur la seule base de soupçons », a écrit le protocole sur les réseaux sociaux. « C’est une tension inhérente au DeFi, que nous prenons au sérieux. »
La gouvernance devrait décider comment couvrir la perte grâce au fonds de risque de Venus.