Токен управления Venus (XVS), денежного рынка на базе BNB Chain с общей заблокированной стоимостью более $1,4 млрд, упал более чем на 9% за 24 часа после эксплуатации уязвимости, оставив после себя $2,15 млн плохих долгов.
Снижение произошло на фоне широкого сброса рисковых активов, в результате которого индекс CoinDesk 20 (CD20) потерял 4,6% своей стоимости за тот же период.
Эксплуатация, произошедшая 16 марта, по-видимому, не повлияла на цены XVS, пока анализ не показал, что крупные держатели, включая кошельки, связанные с Джастином Суном, перемещали большие суммы на биржи.
Venus said, что эксплуатация уязвимости на рынке Thena оставила около 2,15 млн долларов США в виде просроченной задолженности или кредитов, которые система больше не может вернуть.
Атакующий, согласно протоколу, в течение примерно девяти месяцев накапливал большую позицию в токене THE Thena. Согласно PeckShield, эта аккумуляция была профинансирована за счёт 7 400 ETH, выведенных из миксинг-протокола Tornado Cash.
Затем злоумышленник пожертвовал более 36 миллионов THE прямо в контракт vTHE, пропустив обычные проверки лимитов и повысив обменный курс на рынке примерно в 3,8 раза. Venus заявила, что уязвимость в коде, позволившая злоумышленнику пропустить эти проверки, закрывается.
Согласно Venus, с более высокой бумажной стоимостью атакующий разместил THE в качестве залога, занял другие активы и купил еще больше THE на тонком рынке.
Покупка помогла поднять цену THE с примерно $0,26 до около $0,56. Venus заявил, что это не была атака с использованием флеш-займа, его оракулы продолжали работать, и Venus Flux не пострадал.
Когда атакующий позже продал THE, цена упала более чем на 17% менее чем за сутки, за чем последовали ликвидации. Analysis оценивает сумму, извлеченную до ликвидаций, примерно в 3,7–5,8 млн долларов США, при этом были изъяты активы, включая токенизированный bitcoin, BNB и стейблкоины.
Ущерб в основном ограничился токеном THE и, в меньшей степени, CAKE. Также было указано, что средства пользователей за пределами затронутых пулов не были потеряны.
Протокол приостановил взятие в долг и выводы THE, снизил стоимость залога THE до нуля и ужесточил правила на других рынках, признанных рискованными, в ответ на инцидент. Рынки с повышенным риском включают рынки для BCH$457.10, LTC$55.40, aave AAVE$114.90 и другие.
Атакующий адрес был отмечен сообществом до инцидента. Venus не действовала, поскольку «ни одно правило не было нарушено, и никакой эксплуатации не произошло», — сказано было в заявлении.
«Venus — это децентрализованный протокол. Как разрешительный протокол, мы не можем и не должны блокировать или вносить в черный список адреса только на основании подозрений», — написал протокол в социальных сетях. «Это напряжение, присущее DeFi, и мы относимся к нему серьезно».
Управление должно решить, как покрыть убыток за счет рискового фонда Venus.