O token de governança do Venus (XVS), um mercado monetário baseado na BNB Chain com mais de US$ 1,4 bilhão em valor total bloqueado, caiu mais de 9% em 24 horas após uma exploração que deixou US$ 2,15 milhões em dívida ruim.
O drawdown ocorre em meio a uma venda generalizada de ativos de risco, que fez o índice CoinDesk 20 (CD20) perder 4,6% do seu valor no mesmo período.
A exploração, que ocorreu em 16 de março, não parecia afetar os preços do XVS até que a análise mostrasse grandes detentores, incluindo carteiras vinculadas a Justin Sun, movendo grandes quantias para exchanges.
Venus said que a exploração, em seu mercado Thena, deixou cerca de US$ 2,15 milhões em dívidas ruins ou empréstimos que o sistema não pode mais recuperar.
O atacante, segundo o protocolo, gastou cerca de nove meses acumulando uma grande posição no token THE da Thena. Essa acumulação, segundo PeckShield, foi financiada com 7.400 ETH retirados do protocolo de mistura Tornado Cash.
O atacante então doou mais de 36 milhões de THE diretamente para o contrato vTHE, pulando as verificações normais de limite e aumentando a taxa de câmbio do mercado em cerca de 3,8 vezes. A falha no código que permitiu ao atacante pular essas verificações, disse a Venus, está sendo corrigida.
Com esse valor em papel mais alto, o atacante postou THE como garantia, emprestou outros ativos e comprou mais THE em um mercado pouco líquido, segundo a Venus.
A compra ajudou a elevar o THE de cerca de US$ 0,26 para próximo de US$ 0,56. Venus disse que isso não foi um ataque de empréstimo relâmpago, seus oráculos continuaram funcionando e o Venus Flux não foi afetado.
Quando o atacante vendeu posteriormente THE, o preço caiu mais de 17% em menos de um dia e seguiram-se liquidações. Analysis estima o valor retirado antes das liquidações em aproximadamente US$ 3,7 milhões a US$ 5,8 milhões, com ativos incluindo bitcoin tokenizado, BNB e stablecoins sendo retirados.
O dano foi principalmente limitado ao token THE e, em menor grau, ao CAKE. Também foi afirmado que nenhum fundo de usuário foi perdido fora das piscinas afetadas.
O protocolo pausou os empréstimos e saques do THE, reduziu o valor da garantia do THE a zero e reforçou as regras em outros mercados identificados como em risco em resposta ao incidente. Os mercados em risco incluem aqueles para BCH$457.10, LTC$55.40, aave AAVE$114.90, entre outros.
O endereço atacante havia sido sinalizado pela comunidade antes do incidente. A Venus não agiu, pois “nenhuma regra havia sido violada e nenhum exploit havia ocorrido”, disse ela.
“Venus é um protocolo descentralizado. Como um protocolo sem permissão, não podemos e não devemos congelar ou colocar endereços na lista de bloqueio com base apenas em suspeita”, escreveu o protocolo nas redes sociais. “Essa é uma tensão inerente ao DeFi, e uma que levamos a sério.”
Espera-se que a governança decida como cobrir o prejuízo por meio do fundo de risco do Venus.