Рига: +7.3°С
Манипуляция ликвидностью привела к крупным убыткам
Крупнейшая кредитная платформа в сети BNB Chain, протокол Venus, столкнулась с серьезной атакой, в результате которой лишилась активов на сумму свыше 3,7 миллиона долларов США. Инцидент, произошедший в минувшие выходные, был связан с целенаправленной манипуляцией ценой токена Thena (THE).
Злоумышленник использовал уязвимость, связанную с низкой ликвидностью THE, чтобы искусственно завысить его стоимость на платформе. Это позволило получить возможность брать крупные займы под залог токена, который в нормальных условиях не смог бы обеспечить такое кредитное плечо.
Механизм атаки: обход лимитов через «пожертвование»
Схема эксплуатации была многоступенчатой. Прежде всего, хакер накопил значительную долю предложения токена THE, примерно 84% от общей рыночной капитализации. Затем, чтобы обойти встроенные в Venus механизмы ограничения на сумму депозита (supply cap), он применил технику, известную как «атака пожертвованием» (donation attack). Вместо стандартной процедуры внесения актива, токен был переведен напрямую в соответствующий смарт-контракт vTHE, что исказило внутренний обменный курс протокола.
Используя этот искусственно завышенный залог, атакующий начал заимствовать другие, более ликвидные активы. Согласно данным, полученным риск-менеджером Venus, Allez Labs, из протокола были выведены 6,67 миллиона токенов CAKE, 1,58 миллиона USDC, 2 801 BNB и 20 Биткоинов (BTCB).
Реакция протокола и остаточный «плохой долг»
В ответ на обнаружение подозрительной активности команда Venus Protocol оперативно приняла экстренные меры. Были немедленно приостановлены все операции по заимствованию и выводу токена THE. В качестве дополнительной предосторожности, команда также временно заблокировала эти функции для ряда других токенов с относительно низкой ликвидностью, чтобы исключить возможность повторения схожих атак.
Хотя общие потери превысили 3,7 млн долларов, часть этой суммы, по оценкам аналитиков, уже успела перейти в стадию ликвидации. Однако, по данным независимого аналитика EmberCN, в системе остался «плохой долг» (bad debt) примерно на уровне 2,15 миллиона долларов США, который в основном состоит из токенов CAKE и THE, не обеспеченных достаточным залогом.
Уязвимость и исторический контекст
Данный инцидент вновь поднял вопросы о безопасности в сфере децентрализованных финансов (DeFi), в частности, о рисках, связанных с токенами, обладающими тонкой (низкой) ликвидностью. Стоит отметить, что техника «donation attack» является известной уязвимостью в протоколах, форкнутых от архитектуры Compound, и ранее уже была отмечена в одном из аудитов безопасности Venus, хотя тогда команда сочла этот риск незначительным.
Venus Protocol уже сталкивался с крупными потерями: в 2021 году манипуляции с собственным токеном XVS привели к образованию «плохого долга» на сумму более 95 миллионов долларов, а в 2022 году платформа понесла убытки около 14 миллионов долларов на фоне краха экосистемы Terra/LUNA.
Следите за новостями на других платформах: