Protokol Venus Terkena Dugaan Eksploitasi Senilai $3,7 Juta Setelah Manipulasi Batas Pasokan

Platform pinjaman terdesentralisasi Venus Protocol sedang menyelidiki dugaan eksploitasi yang mungkin telah menguras lebih dari $3,7 juta aset digital dari Core Pool-nya di BNB Chain.

Insiden ini terungkap setelah data on-chain menandai aktivitas peminjaman yang tidak biasa terkait dengan dompet yang diidentifikasi sebagai 0x1a35…6231. Alamat tersebut berhasil mengekstrak kombinasi aset, termasuk sekitar 20 BTC, 1,5 juta CAKE, dan sekitar 200 BNB, setelah memanfaatkan posisi besar dalam token THE sebagai jaminan.

Menurut analisis awal, penyerang menggunakan jaminan tersebut untuk meminjam beberapa aset dari protokol, termasuk CAKE, BTCB, dan BNB. Total nilai aset yang dipinjam melebihi $3,7 juta sebelum peristiwa likuidasi dimulai.

Pada saat penulisan, puluhan juta token THE yang digunakan sebagai jaminan sedang dilikuidasi, menunjukkan bahwa mekanisme risiko protokol telah aktif.

Tim Venus mengakui situasi tersebut dan mengonfirmasi bahwa beberapa langkah pencegahan telah diambil sementara penyelidikan berlanjut.

Serangan Menargetkan Kontrol Batas Pasokan

Eksploitasi ini tampaknya berkisar pada manipulasi batas pasokan yang melibatkan pasar token THE di dalam Venus Core Pool.

Batas pasokan dirancang untuk membatasi berapa banyak aset tertentu yang dapat digunakan dalam pasar pinjaman. Mereka berfungsi sebagai perlindungan untuk mencegah eksposur berlebihan terhadap satu token.

Namun dalam kasus ini, penyerang berhasil melewati pembatasan tersebut.

Sebagai tindakan pencegahan, Venus telah menghentikan peminjaman dan penarikan untuk THE. Tim juga menghentikan aktivitas di beberapa pasar di mana konsentrasi likuiditas dapat menimbulkan risiko tambahan.

Pasar yang dihentikan meliputi:

•  BCH
•  LTC
•  UNI
•  AAVE
•  FIL
•  TWT

Meskipun terjadi gangguan, Venus memperjelas bahwa sebagian besar pasar lain di protokol tetap beroperasi penuh.

Peneliti keamanan yang melacak insiden tersebut percaya bahwa eksploitasi ini tidak spontan. Sebaliknya, tampaknya telah direncanakan dan dieksekusi dalam beberapa tahap selama beberapa bulan.

Bulan-bulan Akumulasi Diam-diam

Salah satu detail yang paling mencolok dari eksploitasi ini adalah berapa lama fase persiapan tampaknya berlangsung.

Data on-chain menunjukkan bahwa penyerang mulai mengakumulasi token THE sejak Juni 2025.

Daripada melakukan pembelian besar sekaligus, dompet secara bertahap membangun posisinya selama sembilan bulan. Pada saat serangan terjadi, alamat tersebut telah mengakumulasi sekitar 84% dari batas pasokan token di Venus, yang mencapai 14,5 juta THE.

Pada pukul 11:00 UTC pada hari eksploitasi, dompet tersebut telah menyediakan 12,2 juta THE ke protokol, dengan nyaman dalam batas yang diizinkan.

Tidak ada yang tampak tidak biasa tentang posisi tersebut pada saat itu, yang mungkin menjelaskan mengapa aktivitas tersebut sebagian besar tidak diperhatikan hingga kemudian.

Terobosan nyata datang ketika penyerang menemukan cara untuk memperluas posisi tersebut jauh melampaui batas.

Melewati Batas Pasokan

Alih-alih menggunakan proses deposit standar, penyerang mentransfer token langsung ke kontrak protokol Venus.

Dengan melakukan itu, mereka berhasil melewati sistem yang biasanya menegakkan batas pasokan.

Ini memungkinkan dompet untuk secara dramatis meningkatkan posisi jaminannya dalam waktu yang sangat singkat.

Timeline menunjukkan betapa cepatnya situasi meningkat:

•  11:00 UTC: 12,2 juta THE disediakan (dalam batas)
•  12:00 UTC: 49,5 juta THE disediakan (lebih dari 3x batas)
•  12:42 UTC: 53,2 juta THE disediakan

Pada pukul 12:42 UTC, penyerang telah membangun posisi jaminan besar-besaran dengan total 53,2 juta token THE, sekitar 3,67 kali batas yang dimaksudkan protokol.

Dengan basis jaminan yang begitu besar, penyerang dapat mulai meminjam aset dari platform.

Peminjaman Rekursif Mendorong Harga THE Lebih Tinggi

Setelah membangun posisi jaminan yang berlebihan, penyerang beralih ke tahap berikutnya, memanipulasi harga token melalui loop peminjaman rekursif.

Strategi ini mengikuti siklus berulang:

Deposit THE → Pinjam aset → Beli lebih banyak THE → Tunggu pembaruan oracle → Tingkatkan nilai jaminan → Ulangi

Karena THE memiliki likuiditas on-chain yang relatif rendah, bahkan pembelian moderat memiliki dampak yang terlihat pada harganya.

Saat loop berlanjut, harga oracle token naik tajam. Data menunjukkan harga bergerak dari sekitar $0,27 menjadi hampir $0,53 selama serangan.

Kenaikan harga artifisial ini meningkatkan nilai jaminan penyerang, yang pada gilirannya memungkinkan mereka untuk meminjam jumlah yang lebih besar dari protokol.

Namun setelah manipulasi berakhir dan likuidasi dimulai, harga dengan cepat berbalik, turun menjadi sekitar $0,24.

Aset yang Dipinjam Mencapai Jutaan

Pada puncak eksploitasi, yang tercatat di blok 86738236 sekitar pukul 12:42 UTC, posisi penyerang telah berkembang secara substansial.

Dompet tersebut telah menyediakan 53,2 juta token THE sebagai jaminan.

Terhadap jaminan tersebut, penyerang meminjam beberapa aset dari Venus, termasuk:

•  6,67 juta CAKE
•  2.801 BNB
•  1,97K WBNB
•  1,58 juta USDC
•  20 BTCB

Investigator juga mengidentifikasi alamat terkait kedua (0x737b) yang berperan dalam operasi tersebut.

Dompet tersebut sebelumnya telah mendepositkan 1,58 juta USDC sebagai jaminan dan meminjam 4,63 juta token THE dalam transaksi yang sama yang memulai serangan utama pada pukul 11:55 UTC.

Likuidasi untuk posisi sekunder ini dimulai tidak lama kemudian, dimulai sekitar pukul 12:04 UTC.

Venus Merespons Saat Penyelidikan Berlanjut

Setelah penemuan eksploitasi tersebut, tim Venus bergerak cepat untuk membatasi potensi kerusakan.

Protokol menghentikan pasar THE bersama dengan beberapa pasar berisiko lainnya, sambil mengonfirmasi bahwa sebagian besar platform tetap tidak terpengaruh.

Developer mengatakan mereka sekarang bekerja sama dengan mitra keamanan dan peneliti untuk sepenuhnya memahami apa yang terjadi.

Tim juga berjanji untuk merilis laporan post-mortem terperinci setelah penyelidikan selesai.

Menurut protokol, laporan yang akan datang kemungkinan akan mencakup perbaikan teknis dan peningkatan keamanan, terutama seputar mekanisme oracle dan penegakan batas pasokan.

Meskipun insiden seperti ini bukanlah hal baru dalam keuangan terdesentralisasi, mereka menyoroti tantangan yang dihadapi protokol saat mencoba menyeimbangkan akses terbuka dengan kontrol risiko yang kuat.

Untuk saat ini, fokusnya tetap pada menstabilkan pasar yang terkena dampak dan mencegah eksploitasi serupa di masa depan.

Pengungkapan: Ini bukan saran trading atau investasi. Selalu lakukan riset Anda sendiri sebelum membeli cryptocurrency apa pun atau berinvestasi dalam layanan apa pun.

Ikuti kami di Twitter @nulltxnews untuk tetap update dengan berita terbaru Crypto, NFT, AI, Cybersecurity, Distributed Computing, dan Metaverse!