Depositphotos
Криптокредитный протокол Venus в сети BNB Chain подвергся атаке из-за манипуляции ценой токена THE, в результате чего в системе образовался «плохой долг» примерно на $2,18 млн. Хакер использовал флеш-кредит и серию сложных операций, чтобы получить и вывести с платформы активы на сумму около $3,7 млн.
По данным аналитиков LookOnChain и BlockAid, атака происходила в несколько этапов. Сначала злоумышленник получил 7400 ETH через Tornado Cash, после чего использовал Ethereum в качестве залога в протоколе Aave для займа примерно $9,9 млн в стейблкоинах. Эти средства он применил для массового выкупа токена THE через несколько кошельков, что искусственно подняло его цену на рынке. Параллельно хакер поднимал стоимость THE на централизованных биржах, что позволило ему затем использовать 36,1 млн токенов в качестве залога в Venus для получения активов на $5,07 млн. Среди выведенных активов были около 2172 BNB, $1,5 млн в CAKE и 20 BTC.
«Мы обнаружили необычную активность, связанную с пулом $THE, и активно проводим расследование. На данный момент, похоже, что пострадали только рынки $THE и $CAKE. Мы будем делиться обновлениями по мере продвижения расследования. Спасибо за ваше терпение и поддержку», — говорится в официальном обращении Venus Protocol в X.
После завершения манипуляций злоумышленник начал продавать THE на централизованных биржах, что привело к резкому падению цены. Это привело к каскадным ликвидациям в протоколе, когда стоимость залога не покрывала ссуды и в системе сформировался «плохой долг». Аналитики подчеркивают, что основная прибыль хакера, вероятно, была получена из-за открытия длинных позиций перед пампом THE и коротких позиций перед падением его цены на централизованных биржах.
«Хакер манипулировал ценой $THE и эксплоировал @VenusProtocol в сети BSC. В результате в системе остался «плохой долг» на $2,18 млн», — резюмируют LookOnChain в Х.
Команда Venus временно приостановила займы и вывод токена THE и снизила коэффициенты залога до нуля для отдельных активов, включая стейблкоин lisUSD. Новые ограничения применили к рынкам с рыночной капитализацией менее $2 млрд, объемом торгов за 24 часа менее $100 млн, TVL на DEX менее $40 млн и концентрацией залога одного пользователя более 60%. Другие рынки протокола продолжают работать в обычном режиме. Специалисты по кибербезопасности Blockaid рекомендовали пользователям временно прекратить взаимодействие с протоколом, не подписывать разрешения на делегированное заимствование и отозвать ранее выданные разрешения.
«Система обнаружения эксплойтов Blockaid зафиксировала продолжающуюся атаку на @VenusProtocol из-за злоупотребления механизмом делегированного заимствования. Пожалуйста, временно прекратите любое взаимодействие с Venus, не подписывайте разрешения на делегирование и немедленно отзовите уже предоставленные права делегирования.», — предостерегают в Blockaid.
Это уже не первый случай серьезных потерь для Venus. С 2021 года протокол потерял более $260 млн из-за взломов и эксплойтов. Ранее, в сентябре 2025 года, платформу заставила приостановить работу фишинговая атака на китов — крупных пользователей со значительными суммами активов. Инцидент еще раз показывает высокие риски манипуляций с низколиквидными токенами в DeFi и необходимость контроля концентрации залога на одних адресах, чтобы избежать каскадных ликвидаций и серьезных финансовых потерь.
Источник: X (LookOnChain)
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.