Token quản trị của Venus (XVS), một thị trường tiền tệ dựa trên BNB Chain với tổng giá trị bị khóa hơn 1,4 tỷ đô la, đã giảm hơn 9% trong 24 giờ sau một vụ khai thác lỗ hổng khiến nó chịu khoản nợ xấu 2,15 triệu đô la.
Sự giảm điểm xảy ra trong bối cảnh bán tháo rộng rãi các tài sản rủi ro, khiến chỉ số CoinDesk 20 (CD20) giảm 4,6% giá trị trong cùng giai đoạn.
Cuộc khai thác, xảy ra vào ngày 16 tháng 3, dường như không ảnh hưởng đến giá XVS cho đến khi phân tích cho thấy các chủ sở hữu lớn, bao gồm các ví liên quan đến Justin Sun, đã chuyển số tiền lớn đến các sàn giao dịch.
Venus said rằng vụ khai thác, trên thị trường Thena, đã để lại khoảng 2,15 triệu USD nợ xấu hoặc khoản vay mà hệ thống không thể thu hồi nữa.
Theo giao thức, kẻ tấn công đã dành khoảng chín tháng để tích lũy một vị thế lớn trong token THE của Thena. Việc tích lũy này, theo PeckShield, được tài trợ bởi 7.400 ETH được rút từ giao thức trộn Tornado Cash.
Sau đó, kẻ tấn công đã quyên góp hơn 36 triệu THE trực tiếp vào hợp đồng vTHE, bỏ qua các kiểm tra giới hạn thông thường và nâng tỷ giá hối đoái của thị trường lên khoảng 3,8 lần. Venus cho biết lỗ hổng trong mã cho phép kẻ tấn công bỏ qua các kiểm tra này đang được khắc phục.
Với giá trị giấy cao hơn, kẻ tấn công đã đăng ký THE làm tài sản đảm bảo, vay các tài sản khác và mua thêm THE trên thị trường mỏng, theo Venus.
Việc mua vào đã giúp nâng THE từ khoảng 0,26 đô la lên gần 0,56 đô la. Venus cho biết đây không phải là cuộc tấn công vay chớp nhoáng, các oracle của nó vẫn hoạt động và Venus Flux không bị ảnh hưởng.
Khi kẻ tấn công sau đó bán THE, giá đã giảm hơn 17% trong ít hơn một ngày và các vị thế thanh lý đã xảy ra. Analysis ước tính giá trị bị rút trước khi thanh lý vào khoảng 3,7 triệu đến 5,8 triệu đô la Mỹ, với các tài sản bao gồm bitcoin được token hóa, BNB và các stablecoin bị lấy đi.
Thiệt hại chủ yếu giới hạn ở token THE và, ở mức độ nhỏ hơn, CAKE. Nó cũng cho biết không có quỹ người dùng nào bị mất ngoài các hồ chứa bị ảnh hưởng.
Giao thức đã tạm dừng việc vay và rút tiền của THE, giảm giá trị tài sản đảm bảo của THE về 0 và siết chặt các quy tắc trên các thị trường khác được xác định là có nguy cơ cao nhằm phản ứng với sự cố này. Các thị trường có nguy cơ bao gồm các thị trường cho BCH$457.10, LTC$55.40, aave AAVE$114.90, cùng một số thị trường khác.
Địa chỉ tấn công đã được cộng đồng cảnh báo trước sự việc. Venus không hành động vì “không có quy tắc nào bị vi phạm và không có lỗ hổng nào xảy ra,” công ty cho biết.
“Venus là một giao thức phi tập trung. Là một giao thức không cần phép, chúng tôi không thể và không nên đóng băng hoặc đưa vào danh sách đen các địa chỉ chỉ dựa trên nghi ngờ,” giao thức viết trên mạng xã hội. “Đây là sự căng thẳng vốn có trong DeFi, và chúng tôi coi trọng điều này.”
Việc quản trị dự kiến sẽ quyết định cách bù đắp tổn thất thông qua quỹ rủi ro của Venus.