Venus Protocol зазнав атаки з використанням флеш-позики на 3,7 млн $ у ланцюжку BNB

Децентралізована платформа позичання Venus Protocol, за повідомленнями, зазнала підозрюваної атаки з використанням флеш-позики на своєму Core Pool на BNB Chain, що призвело до збитків понад 3,7 мільйона доларів США.

Дані в ланцюжку показують, що атакувач маніпулював лімітами пропонування за допомогою токена Thena (THE), що дозволило йому позичити кілька активів з протоколу.

Згідно з даними блокчейну, атакувач використав адресу, яка починається з 0x1a35…6231, щоб експлуатувати систему. Стратегія розпочалася місяців тому, коли атакувач повільно накопичив близько 84% ліміту пропозиції THE (14,5 мільйона токенів) протягом дев’яти місяців, починаючи з червня 2025 року.

Справжній експлойт відбувся, коли атакуючий обійшов нормальний процес депозиту, прямо переклавши токени до контракту протоколу.

Це дозволило їм перевищити ліміт пропозиції та створити масштабну позицію з гарантій THE на суму 53,2 мільйона, що майже в 3,7 раза перевищує дозволений ліміт.

Використовуючи завищене забезпечення, атакуючий почав брати у борг великі суми активів, включаючи:

• Близько 20 BTC у обгорнутому bitcoin
• Близько 1,5 мільйона токенів CAKE
• Майже 200 BNB
• 1,58 млн USDC

Щоб максимізувати експлойт, атакуючий повторював циклічну стратегію: депозит THE, позичити активи, купити більше THE та чекати оновлення ціни оракула TWAP для збільшення оцінки забезпечення.

Це підняло ціну THE з приблизно $0,263 до майже $0,563, перш ніж ринок у кінцевому підсумку впав до близько $0,22 під час ліквідації.

Після інциденту команда Venus Protocol оголосила про заходи обережності. Позичання та виведення THE тимчасово призупинено, а також кілька ринків із високою концентрацією ліквідності, зокрема BCH, LTC, UNI, AAVE, FIL і TWT.

Протокол підтвердив, що всі інші ринки залишаються працездатними і не постраждали, поки триває розслідування.

Команда також зазначила, що опублікує детальний звіт після завершення повного аналізу експлойту.