6
Цена токена управления Venus ($XVS) — денежного рынка на базе $BNB Chain с общей заблокированной стоимостью свыше $1,4 млрд — упала более чем на 9% за 24 часа из‑за эксплоита, который привел к образованию проблемного долга на сумму $2,15 млн. Снижение произошло на фоне широкой распродажи рисковых активов.
Эксплоит случился 16 марта, но на цене Venus ($XVS) он не отражался до тех пор, пока анализ не показал, что крупные держатели, в том числе кошельки, связанные с Джастином Саном, переводят значительные объемы токенов на биржи.
В Venus сообщили, что эксплоит в их рынке Thena привел к возникновению проблемного долга — то есть займов, которые система уже не может вернуть, — на сумму около $2,15 млн.
Злоумышленник, согласно данным протокола, около девяти месяцев накапливал крупную позицию в токене Thena (THE). По данным PeckShield, эти накопления финансировались за счет 7 400 ETH, выведенных из сервиса смешивания транзакций Tornado Cash (TORN).
Затем злоумышленник перевел более 36 млн THE напрямую в контракт vTHE, обойдя стандартные ограничения по лимитам и повысив обменный курс на рынке примерно в 3,8 раза. В Venus сообщили, что уязвимость в коде, позволившая обойти эти проверки, уже устранена.
Используя возросшую номинальную стоимость, злоумышленник разместил THE в качестве залога, взял в долг другие активы и скупил еще больше THE на малоликвидном рынке, сообщили в Venus.
Эта скупка помогла поднять цену THE с примерно $0,26 до почти $0,56. В Venus подчеркнули, что это не была атака с использованием флэш‑кредита: оракулы продолжали работать, а Venus Flux не пострадал.
Когда злоумышленник позже продал THE, цена упала более чем на 17% менее чем за день, после чего последовали ликвидации позиций. По оценкам аналитиков, объем средств, выведенных до ликвидаций, составил примерно от $3,7 млн до $5,8 млн; среди выведенных активов — токенизированный биткоин, $BNB и стейблкоины.
Ущерб в основном затронул токен THE и, в меньшей степени, CAKE. В проекте также уточнили, что средства пользователей не были потеряны за пределами затронутых пулов.
В ответ на инцидент протокол приостановил заимствования и вывод средств в THE, обнулил залоговую стоимость токена THE и ужесточил правила на других рынках, признанных рискованными. К числу рискованных рынков относятся рынки Bitcoin Cash (BCH), Litecoin (LTC), AAVE и некоторые другие.
Адрес атакующего был отмечен сообществом еще до инцидента. В Venus не предприняли действий, поскольку «на тот момент не было зафиксировано нарушений правил и признаков эксплоита», — заявили в проекте.
«Venus — децентрализованный протокол. Как протокол без разрешений, мы не можем и не должны замораживать или вносить в черный список адреса только на основании подозрений, — написали представители протокола в социальных сетях. — Это внутреннее противоречие DeFi, к которому мы относимся со всей серьезностью».
Ожидается, что управление протоколом примет решение о покрытии убытков за счет резервного фонда рисков Venus.
bits.media
forklog.com
hashtelegraph.com