Криптокредитний протокол Venus у мережі BNB Chain зазнав атаки через маніпуляцію ціною токена THE, внаслідок чого в системі утворився “поганий борг” приблизно на $2,18 млн. Хакер використав флеш-кредит і серію складних операцій, щоб отримати й вивести з платформи активи на суму близько $3,7 млн.
За даними аналітиків LookOnChain та BlockAid, атака відбувалася кількома етапами. Спочатку зловмисник отримав 7400 ETH через Tornado Cash, після чого використав Ethereum як заставу у протоколі Aave для позики приблизно $9,9 млн у стейблкоїнах. Ці кошти він застосував для масового викупу токена THE через кілька гаманців, що штучно підняло його ціну на ринку. Паралельно хакер піднімав вартість THE на централізованих біржах, що дозволило йому потім використати 36,1 млн токенів як заставу у Venus для отримання активів на $5,07 млн. Серед виведених активів були близько 2172 BNB, $1,5 млн у CAKE та 20 BTC.
“Ми виявили незвичайну активність, пов’язану з пулом $THE, і активно проводимо розслідування. Наразі, схоже, що постраждали лише ринки $THE та $CAKE. Ми будемо ділитися оновленнями в міру просування розслідування. Дякуємо за ваше терпіння та підтримку”, — йдеться у офіційному зверненні Venus Protocol у X.
Після завершення маніпуляцій зловмисник почав продавати THE на централізованих біржах, що спричинило різке падіння ціни. Це призвело до каскадних ліквідацій у протоколі, коли вартість застави не покривала позики, і в системі сформувався “поганий борг”. Аналітики підкреслюють, що основний прибуток хакера, ймовірно, був отриманий через відкриття довгих позицій перед пампом THE та коротких позицій перед падінням його ціни на централізованих біржах.
“Хакер маніпулював ціною $THE та експлойтував @VenusProtocol у мережі BSC. У результаті в системі залишився “поганий борг” на $2,18 млн”, — резюмують LookOnChain у Х.
Команда Venus тимчасово призупинила позики та виведення токена THE і знизила коефіцієнти застави до нуля для окремих активів, включно зі стейблкоїном lisUSD. Нові обмеження застосували до ринків з ринковою капіталізацією менше $2 млрд, обсягом торгів за 24 години менше $100 млн, TVL на DEX менше $40 млн і концентрацією застави одного користувача понад 60%. Інші ринки протоколу продовжують працювати у звичайному режимі. Фахівці з кібербезпеки Blockaid рекомендували користувачам тимчасово припинити взаємодію з протоколом, не підписувати дозволи на делеговане позичання та відкликати раніше видані дозволи.
“Система виявлення експлойтів Blockaid зафіксувала атаку, що триває, на @VenusProtocol через зловживання механізмом делегованого запозичення. Будь ласка, тимчасово припиніть будь-яку взаємодію з Venus, не підписуйте дозволи на делегування та негайно відкличте вже надані права делегування.”, — застерігають у Blockaid.
Це вже не перший випадок серйозних втрат для Venus. З 2021 року протокол втратив понад $260 млн через зломи та експлойти. Раніше, у вересні 2025 року, платформу змусила призупинити роботу фішингова атака на китів — великих користувачів із значними сумами активів. Інцидент ще раз показує високі ризики маніпуляцій із низьколіквідними токенами у DeFi та необхідність контролю концентрації застави на одних адресах, щоб уникнути каскадних ліквідацій та серйозних фінансових втрат.
Джерело: X (LookOnChain)
Повідомити про помилку
Текст, який буде надіслано нашим редакторам: