Venus Protocol зазнав атаки на обмеження пропозиції, внаслідок чого було втрачено 3,7 мільйона доларів

Децентралізована платформа позичання Venus Protocol у неділю оголосила, що в основному пулі було виявлено аномальну торгову активність щодо пулу з токенами Thena (THE). За останнім дослідженням партнерів з управління ризиками Venus — Allez Labs, ця подія була ретельно спланованою маніпуляцією обмеженням пропозиції, яка тривала близько 9 місяців від задуму до реалізації і спричинила збитки понад 3,7 мільйона доларів.

Аналіз повного процесу атаки: чотири етапи ретельного планування

Дослідження Allez Labs розкриває повну логіку цієї атаки, яка складається з чотирьох ключових етапів:

Перший етап: повільне накопичення токенів протягом 9 місяців. З червня 2025 року зловмисник повільно накопичував THE, у підсумку досягнувши 84% обмеження пропозиції — близько 14,5 мільйонів токенів. Така стратегія уникнула спрацьовування системи попередження платформи про ризики.

Другий етап: обхід обмеження пропозиції через прямий переказ. Зловмисник не використовував стандартний процес внесення, а безпосередньо переводив токени на контракт протоколу, повністю ігноруючи механізм обмеження пропозиції, у результаті сформувавши позицію з 53,2 мільйона THE, що у 3,67 рази перевищує обмеження.

Третій етап: маніпуляція TWAP-прогнозером. Використовуючи структурну вразливість з низькою ліквідністю токену THE у мережі, зловмисник за допомогою рекурсивних операцій маніпулював TWAP (часово зваженою середньою ціною), піднявши ціну THE з приблизно 0,27 до 0,53 долара.

Четвертий етап: використання штучно завищеної оцінки застави для масштабного позичання активів. На основі завищеної оцінки застави з 53,2 мільйона THE зловмисник позичив різноманітні високоліквідні активи.

Деталі викрадених активів та екстрені заходи платформи

У піковий час зловмисник позичив:

• 6 670 000 CAKE (рідний токен PancakeSwap)
• 2 801 BNB (рідний токен BNB Chain)
• 1 970 WBNB
• 1 580 000 USDC
• 20 BTCB (токінізований біткоїн)

Venus Protocol негайно призупинив усі операції з позиками та виведеннями THE, а також, з метою запобігання, тимчасово припинив функції позичання і виведення у високонаповнених ринках з ліквідністю, таких як BCH, LTC, UNI, AAVE, FIL та TWT. Інші ринки Venus працюють у звичайному режимі.

Глибокі уроки безпеки: системна вразливість токенів з низькою ліквідністю

Ця атака на Venus Protocol виявила кілька системних ризиків DeFi-кредитних протоколів: TWAP-прогнозери для токенів з низькою ліквідністю легко піддаються маніпуляціям через невеликі операції; механізм обмеження пропозиції, якщо не захищений від прямих переказів контрактом, має технічні вразливості, що дозволяють його обійти; а стратегія повільного накопичення протягом 9 місяців показує потенційні недоліки у довгостроковому моніторингу поведінки протоколу.

Поширені запитання

Що таке «атака на обмеження пропозиції» у Venus Protocol?
Обмеження пропозиції — це захисний механізм, який обмежує максимальну кількість активів, що можуть бути використані як застави для одного активу. У цій атаці зловмисник обійшов цей механізм, безпосередньо переказуючи токени на контракт, досягнувши 3,67-кратного перевищення обмеження, а потім, маніпулюючи прогнозером, збільшив оцінку застави і позичив активи понад допустимий кредитний ліміт.

Чому цю довгу підготовку не помітили раніше?
Зловмисник застосував стратегію «Low and Slow» — повільного накопичення протягом 9 місяців, контролюючи обсяг позицій так, щоб не викликати системи попередження. Лише коли досяг 84% обмеження пропозиції, він почав атаку. Такий підхід є поширеним способом обходу систем моніторингу за пороговими значеннями і вказує на необхідність більш тонкого довгострокового контролю поведінки протоколу.

Які заходи вжила Venus Protocol у відповідь?
Venus Protocol негайно призупинив усі операції з THE — позики і виведення, а також тимчасово припинив функції у високонаповнених ринках з ліквідністю, таких як BCH, LTC, UNI, AAVE, FIL і TWT. Інші ринки працюють у нормальному режимі. Команда Allez Labs і партнери з безпеки продовжують розслідування і оновлюють інформацію.