Децентралізована платформа позичання Venus Protocol у неділю оголосила, що в основному пулі було виявлено аномальну торгову активність щодо пулу з токенами Thena (THE). За останнім дослідженням партнерів з управління ризиками Venus — Allez Labs, ця подія була ретельно спланованою маніпуляцією обмеженням пропозиції, яка тривала близько 9 місяців від задуму до реалізації і спричинила збитки понад 3,7 мільйона доларів.
Аналіз повного процесу атаки: чотири етапи ретельного планування
Дослідження Allez Labs розкриває повну логіку цієї атаки, яка складається з чотирьох ключових етапів:
Перший етап: повільне накопичення токенів протягом 9 місяців. З червня 2025 року зловмисник повільно накопичував THE, у підсумку досягнувши 84% обмеження пропозиції — близько 14,5 мільйонів токенів. Така стратегія уникнула спрацьовування системи попередження платформи про ризики.
Другий етап: обхід обмеження пропозиції через прямий переказ. Зловмисник не використовував стандартний процес внесення, а безпосередньо переводив токени на контракт протоколу, повністю ігноруючи механізм обмеження пропозиції, у результаті сформувавши позицію з 53,2 мільйона THE, що у 3,67 рази перевищує обмеження.
Третій етап: маніпуляція TWAP-прогнозером. Використовуючи структурну вразливість з низькою ліквідністю токену THE у мережі, зловмисник за допомогою рекурсивних операцій маніпулював TWAP (часово зваженою середньою ціною), піднявши ціну THE з приблизно 0,27 до 0,53 долара.
Четвертий етап: використання штучно завищеної оцінки застави для масштабного позичання активів. На основі завищеної оцінки застави з 53,2 мільйона THE зловмисник позичив різноманітні високоліквідні активи.
Деталі викрадених активів та екстрені заходи платформи
У піковий час зловмисник позичив:
- 6 670 000 CAKE (рідний токен PancakeSwap)
- 2 801 BNB (рідний токен BNB Chain)
- 1 970 WBNB
- 1 580 000 USDC
- 20 BTCB (токінізований біткоїн)
Venus Protocol негайно призупинив усі операції з позиками та виведеннями THE, а також, з метою запобігання, тимчасово припинив функції позичання і виведення у високонаповнених ринках з ліквідністю, таких як BCH, LTC, UNI, AAVE, FIL та TWT. Інші ринки Venus працюють у звичайному режимі.
Глибокі уроки безпеки: системна вразливість токенів з низькою ліквідністю
Ця атака на Venus Protocol виявила кілька системних ризиків DeFi-кредитних протоколів: TWAP-прогнозери для токенів з низькою ліквідністю легко піддаються маніпуляціям через невеликі операції; механізм обмеження пропозиції, якщо не захищений від прямих переказів контрактом, має технічні вразливості, що дозволяють його обійти; а стратегія повільного накопичення протягом 9 місяців показує потенційні недоліки у довгостроковому моніторингу поведінки протоколу.
Поширені запитання
Що таке «атака на обмеження пропозиції» у Venus Protocol?
Обмеження пропозиції — це захисний механізм, який обмежує максимальну кількість активів, що можуть бути використані як застави для одного активу. У цій атаці зловмисник обійшов цей механізм, безпосередньо переказуючи токени на контракт, досягнувши 3,67-кратного перевищення обмеження, а потім, маніпулюючи прогнозером, збільшив оцінку застави і позичив активи понад допустимий кредитний ліміт.
Чому цю довгу підготовку не помітили раніше?
Зловмисник застосував стратегію «Low and Slow» — повільного накопичення протягом 9 місяців, контролюючи обсяг позицій так, щоб не викликати системи попередження. Лише коли досяг 84% обмеження пропозиції, він почав атаку. Такий підхід є поширеним способом обходу систем моніторингу за пороговими значеннями і вказує на необхідність більш тонкого довгострокового контролю поведінки протоколу.
Які заходи вжила Venus Protocol у відповідь?
Venus Protocol негайно призупинив усі операції з THE — позики і виведення, а також тимчасово припинив функції у високонаповнених ринках з ліквідністю, таких як BCH, LTC, UNI, AAVE, FIL і TWT. Інші ринки працюють у нормальному режимі. Команда Allez Labs і партнери з безпеки продовжують розслідування і оновлюють інформацію.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
ZachXBT публікує оголошення $10K про винагороду для засновника LAB на тлі звинувачень у маніпуляціях на ринку
Криптовалютний слідчий ZachXBT звинуватив Вову Садкова, засновника проєкту AI-trading-термінала LAB, у маніпуляціях із ринком і пропонує винагороду в розмірі $10,000 за інформацію, пов’язану з нібито шахрайством, повідомляє The Block.
Відомості про винагороду та звинувачення
ZachXBT опублікував у X у четвер: "$10K bounty
CryptoFrontier37хв. тому
Генеральний директор Project Eleven попереджає про ризик $2,3 трильйона для Bitcoin через квантові комп’ютери
На конференції Consensus у Маямі CEO Project Eleven Алекс Пруден попередив, що приблизно на $2,3 трильйона вартості Bitcoin піддається загрозам від квантових обчислень, закликавши розробників заздалегідь перейти до підписів постквантової криптографії. Пруден підкреслив, що перехід Bitcoin до квантовихре
GateNews3год тому
1inch постачальник ліквідності TrustedVolumes зазнав зламу: викрадено 6,7 млн доларів, колишній атакувальник повернувся
1inch постачальник ліквідності TrustedVolumes 7 травня зазнав хакерської атаки, збитки становлять приблизно 6,7 мільйона доларів. Атакувальник через публічні функції у власному RFQ-контракті-проксі зареєструвався як «уповноважений підписант замовлень», використавши наявні token approvals для переказу коштів із гаманців користувачів, не торкнувшись основних контрактів 1inch та коштів користувачів. Радимо користувачам DeFi регулярно скасовувати token approvals для токенів, якими більше не користуєтесь.
ChainNewsAbmedia5год тому
Aave Переписує стандарти лістингу активів після експлойту $293M KelpDAO, додаючи перевірки безпеки
За даними CoinDesk, Aave Labs оголосила 7 травня, що перепише правила лістингу активів і стандарти ризиків забезпечення, щоб додати перевірки інтероперабельності, кібербезпеки та базової архітектури понад наявні оцінки ціни й волатильності. Перезавантаження відбулося після квітневого нападу на cros KelpDAO's
GateNews5год тому
$20M Жертва шахрайства Pig Butchering подала позов проти Citibank
Майкл Зіделл подає в суд на Citibank у федеральному суді Манхеттена щодо $20M у схемах «pig butchering» (вибивання довіри), стверджуючи бездіяльність у сфері AML і те, що попередження ігнорували.
Анотація: У статті описано позов Майкла Зіделла проти Citibank у федеральному суді Манхеттена. Він стверджує, що недбалі AML-контролі дали змогу відправити 20 мільйонів доларів аферам pig butchering через рахунки, пов’язані з Керолін Паркер та Guju Inc. Вона подає справу на тлі зростання криптоскем і системних вразливостей AML між фіатними та криптовалютами.
TodayqNews8год тому
