Venus Protocol bị tấn công bằng vay chớp nhoáng 3,7 triệu USD trên BNB Chain

Nền tảng cho vay phi tập trung Venus Protocol được cho là đã chịu thiệt hại do cuộc tấn công flash-loan nghi ngờ vào Core Pool trên BNB Chain, dẫn đến tổn thất hơn 3,7 triệu đô la Mỹ.

Dữ liệu trên chuỗi cho thấy kẻ tấn công đã thao túng giới hạn nguồn cung bằng token Thena (THE), cho phép chúng vay nhiều tài sản từ giao thức.

Theo dữ liệu blockchain, kẻ tấn công đã sử dụng địa chỉ bắt đầu bằng 0x1a35…6231 để khai thác hệ thống. Chiến lược này bắt đầu cách đây vài tháng, khi kẻ tấn công từ từ tích lũy khoảng 84% giới hạn cung THE (14,5 triệu token) trong chín tháng, bắt đầu từ tháng 6 năm 2025.

Lỗ hổng thực sự xảy ra khi kẻ tấn công vượt qua quy trình nạp bình thường bằng cách chuyển trực tiếp các token vào hợp đồng giao thức.

Điều này cho phép họ vượt quá giới hạn cung và xây dựng một vị thế thế chấp THE khổng lồ trị giá 53,2 triệu THE, gần gấp 3,7 lần giới hạn cho phép.

Sử dụng tài sản thế chấp bị thổi phồng, kẻ tấn công bắt đầu vay các lượng tài sản lớn, bao gồm:

• Khoảng 20 BTC trong bitcoin được đóng gói
• Khoảng 1,5 triệu token CAKE
• Gần 200 BNB
• 1,58 triệu USDC

Để khai thác tối đa, kẻ tấn công lặp lại chiến lược vòng lặp: nạp THE, vay tài sản, mua thêm THE và chờ cập nhật giá oracle TWAP để tăng định giá tài sản đảm bảo.

Điều này đã đẩy giá THE từ khoảng 0,263 USD lên gần 0,563 USD trước khi thị trường cuối cùng sụp đổ xuống khoảng 0,22 USD trong quá trình thanh lý.

Sau sự cố, đội ngũ của Venus Protocol đã công bố các biện pháp phòng ngừa. Việc vay và rút THE đã bị tạm dừng, cùng với một số thị trường cho thấy sự tập trung thanh khoản cao, bao gồm BCH, LTC, UNI, AAVE, FIL và TWT.

Giao thức xác nhận rằng tất cả các thị trường khác vẫn đang hoạt động bình thường và không bị ảnh hưởng trong khi cuộc điều tra tiếp tục.

Đội ngũ cũng cho biết sẽ công bố báo cáo chi tiết sau khi hoàn tất phân tích toàn bộ vụ khai thác.