Децентрализованная платформа кредитования Venus Protocol в воскресенье объявила, что в основном пуле обнаружена аномальная торговая активность, связанная с токеном Thena (THE). Согласно последнему расследованию партнера по управлению рисками Venus — Allez Labs, инцидент представляет собой тщательно спланированную манипуляцию лимитом поставки, которая длилась около 9 месяцев от планирования до реализации и в итоге привела к потерям свыше 3,7 миллиона долларов.
Полный разбор хода атаки: четыре этапа тщательного планирования
Расследование Allez Labs выявило полную логику работы атаки, которая делится на четыре ключевых этапа:
Первый этап: медленное накопление токенов в течение 9 месяцев. Начиная с июня 2025 года, злоумышленник постепенно накапливал токены THE, в итоге достигнув 84% лимита поставки, примерно 14,5 миллиона. Эта стратегия позволила избежать срабатывания систем риск-менеджмента платформы.
Второй этап: обход лимита поставки через прямой перевод. Злоумышленник не использовал стандартные процедуры депозита, а напрямую переводил токены в контракт протокола, полностью обходя механизм лимита поставки, в результате сформировав позицию в 53,2 миллиона THE, что в 3,67 раза превышает лимит.
Третий этап: манипуляция TWAP-оракулом. Используя структурные слабости в очень низкой ликвидности токена THE на блокчейне, злоумышленник через рекурсивные операции манипулировал TWAP (взвешенной по времени скользящей средней ценой), подняв цену THE с примерно 0,27 до около 0,53 доллара.
Четвертый этап: использование завышенной оценки залога для крупномасштабного займа. На фоне искусственно завышенной стоимости залога злоумышленник взял кредиты под залог 53,2 миллиона THE, получив доступ к различным высоколиквидным активам.
Детали украденных активов и экстренные меры платформы
В пиковый момент злоумышленник занял следующие активы:
- 6 670 000 CAKE (родной токен PancakeSwap)
- 2 801 BNB (родной токен BNB Chain)
- 1 970 WBNB
- 1 580 000 USDC
- 20 BTCB (токенизированный биткоин)
Venus Protocol немедленно приостановила все операции по кредитованию и выводам токена THE, а также для предотвращения дальнейших рисков — приостановила функции кредитования и вывода в высокоцентрализованных рынках с высокой ликвидностью, таких как BCH, LTC, UNI, AAVE, FIL и TWT. Остальные рынки протокола продолжают работу в обычном режиме.
Глубокие уроки по системным уязвимостям: слабости токенов с низкой ликвидностью
Этот инцидент выявил несколько системных рисков DeFi-кредитных протоколов: TWAP-оракулы для токенов с низкой ликвидностью легко могут быть манипулированы малыми операциями; механизмы ограничения поставки, не защищённые от прямых переводов в контракт, содержат технические уязвимости; а стратегия медленного накопления, продолжавшаяся 9 месяцев, показала потенциальные пробелы в мониторинге долгосрочного поведения протокола.
Часто задаваемые вопросы
Что такое «атака с лимитом поставки» в Venus Protocol?
Лимит поставки — это механизм безопасности, предназначенный для ограничения максимального количества одного актива, используемого в качестве залога. В данном случае злоумышленник обошёл этот механизм, напрямую переводя токены в контракт, достигнув 3,67-кратного превышения лимита, а затем, манипулируя оркулом, увеличил оценку залога и взял кредиты сверх допустимых лимитов.
Почему злоумышленнику удалось планировать такой длительный инцидент без обнаружения?
Злоумышленник использовал стратегию «низко и медленно» (Low and Slow), контролируя объемы залога так, чтобы не вызвать тревожных сигналов, и только после накопления 84% лимита поставки приступил к атаке. Такой подход позволяет обходить системы мониторинга, основанные на пороговых значениях, что подчеркивает необходимость более тонкого долгосрочного анализа поведения.
Какие меры предприняла Venus Protocol в ответ на инцидент?
Протокол немедленно приостановил все операции по кредитованию и выводам токена THE, а также для предотвращения дальнейших рисков — временно отключил функции кредитования в рынках с высокой концентрацией ликвидности, таких как BCH, LTC, UNI, AAVE, FIL и TWT. Другие рынки продолжают работу в штатном режиме. Allez Labs и команда по безопасности продолжают расследование и предоставляют обновления.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Глава Project Eleven предупреждает о риске для BTC на сумму 2,3 триллиона долларов со стороны квантовых компьютеров
На конференции Consensus в Майами генеральный директор Project Eleven Алекс Пруден предупредил, что примерно $2,3 триллиона в эквиваленте Bitcoin подвержены угрозам со стороны квантовых вычислений, и призвал разработчиков заранее внедрять подписи постквантовой криптографии. Пруден подчеркнул, что переход Bitcoin к квантовым-ре
GateNews43м назад
Провайдер ликвидности 1inch TrustedVolumes был взломан: украдено 6,7 млн долларов, прежний атакующий вернулся
1inch provider TrustedVolumes 7 мая подвергся взлому, потери составили около 6,7 млн долларов. Злоумышленники зарегистрировались как «подписанты авторизованных ордеров», используя публичную функцию в их собственном контракте-агенте RFQ, и вывели средства из пользовательских кошельков, задействовав ранее выданные token approvals. При этом не были затронуты основные контракты 1inch и средства пользователей. Рекомендуется пользователям DeFi регулярно отзывать token approvals для токенов, которые больше не используются.
ChainNewsAbmedia1ч назад
Aave обновляет стандарты листинга активов после взлома $293M KelpDAO, добавляя проверки безопасности
По данным CoinDesk, Aave Labs объявила 7 мая, что перепишет стандарты листинга активов и оценки рисков в качестве залога, добавив проверки по вопросам интероперабельности, кибербезопасности и лежащей в основе архитектуры сверх существующих оценок цены и волатильности. Переработка последовала за апрельской атакой на cros KelpDAO
GateNews2ч назад
$20M Жертва мошенничества «пиг-ба́тчер» подала в суд на Citibank
Майкл Зиделл подаёт иск против Citibank в федеральный суд Манхэттена по $20M в переводах с мошенничеством «свиного убоя», утверждая, что в банке пренебрегли мерами по ПОД/AML и проигнорировали предупреждения.
Аннотация: В материале описан иск Майкла Зиделла против Citibank в федеральном суде Манхэттена с обвинениями в том, что небрежные AML-контроли позволили отправить 20 миллионов долларов свиньим убойным мошенникам через счета, связанные с Carolyn Parker и Guju Inc. Дело подаётся на фоне роста криптомошенничеств и системных уязвимостей в ПОД между фиатом и криптовалютами.
TodayqNews5ч назад
Криптоатаки в августе 2025 года обошлись $163M в 16 инцидентах — PeckShield
В августе этого года крипторынок потерял $163 миллиона в 16 крупных взломах; самая большая сумма потерь составила $91,4 миллиона в результате одного инцидента, а BtcTurk потеряла $54 миллиона.
Потери в августе 2025 года на 15% больше суммы потерь в июле этого года — $142,16 миллиона; в июне, совокупные потери
TodayqNews5ч назад
