Токен управління Venus (XVS), грошового ринку на основі BNB Chain із загальною заблокованою вартістю понад $1,4 млрд, впав більше ніж на 9% за 24 години після експлойту, який залишив йому $2,15 млн поганого боргу.
Зниження відбувається на тлі загального продажу ризикованих активів, в результаті чого загальний індекс CoinDesk 20 (CD20) втратив 4,6% своєї вартості за той самий період.
Експлойт, який відбувся 16 березня, на перший погляд не вплинув на ціни XVS, доки аналіз не показав, що великі власники, включаючи гаманці, пов’язані з Джастіном Суном, переміщали великі суми на біржі.
Venus said, що експлуатація на ринку Thena залишила близько 2,15 мільйона доларів США у вигляді неповернених боргів або позик, які система більше не може відновити.
Згідно з протоколом, атакувач витратив близько дев’яти місяців на накопичення великої позиції у токені THE протоколу Thena. Це накопичення, за даними PeckShield, фінансувалося за рахунок 7 400 ETH, виведених із протоколу змішування Tornado Cash.
Потім атакуючий пожертвував більше 36 мільйонів THE безпосередньо контракту vTHE, минувши нормальні перевірки лімітів і підвищивши обмінний курс ринку приблизно в 3,8 рази. Venus сказав, що прогалина в коді, яка дозволила атакуючому минути ці перевірки, зараз закривається.
Зі вищою паперовою вартістю атакуючий використав THE як забезпечення, позичив інші активи та купив більше THE на ринку з низькою ліквідністю, згідно з Venus.
Покупки допомогли підняти THE з близько $0,26 до майже $0,56. Venus сказав, що це не був атака з використанням флеш-позичання, його оракули продовжували працювати, а Venus Flux не постраждав.
Коли нападник пізніше продав THE, ціна впала більше ніж на 17% за менше ніж добу, і відбулися ліквідації. Analysis оцінює суму, вилучену до ліквідацій, приблизно в $3,7 млн–$5,8 млн, зокрема з активами, що включають токенізований bitcoin, BNB та стейблкоїни.
Шкода була здебільшого обмежена токеном THE і, у меншому ступені, CAKE. Також зазначалося, що кошти користувачів за межами впливових пулів не були втрачені.
Протокол призупинив позичання та виведення коштів THE, знизив вартість колатералу THE до нуля та посилив правила на інших ринках, визначених як ризиковані, у відповідь на інцидент. Ринки з високим ризиком включають ринки для BCH$457.10, LTC$55.40, aave AAVE$114.90 тощо.
Атакуючу адресу було позначено спільнотою до інциденту. Venus не діяв, оскільки «порушень правил не було, і експлойт не відбувся», — сказано там.
«Venus — це децентралізований протокол. Як дозвільний протокол, ми не можемо і не повинні блокувати або чорні списки адрес лише на підставі підозріння», — написав протокол у соціальних мережах. «Це напруженість, властива DeFi, і ми ставимося до неї серйозно».
Керівництво має вирішити, як покрити збитки за рахунок ризикового фонду Venus.