Venus Protocol、供給上限操作後に370万ドル相当のエクスプロイトの疑いで被害

分散型レンディングプラットフォームVenus Protocolは、BNBチェーン上のCore Poolから370万ドル以上のデジタル資産が流出した可能性のある攻撃疑惑について調査を行っています。

この事件は、0x1a35…6231と特定されたウォレットに紐づく異常な借入活動をオンチェーンデータが検出したことで明らかになりました。このアドレスは、THEトークンの大量ポジションを担保資産として活用した後、約20 BTC、150万CAKE、約200 BNBを含む複数の資産を引き出すことに成功しました。

初期分析によると、攻撃者は担保資産を使用してCAKE、BTCB、BNBを含む複数の資産をプロトコルから借り入れました。強制決済が始まる前に、借入資産の総額は370万ドルを超えていました。

執筆時点では、担保資産として使用された数千万のTHEトークンが強制決済されており、プロトコルのリスク管理メカニズムがすでに作動していることを示唆しています。

Venusチームはこの状況を認識し、調査が継続される間、すでにいくつかの予防措置が講じられたことを確認しました。

供給上限制御を標的とした攻撃

この攻撃は、Venus Core Pool内のTHEトークン市場に関わる最大供給量の操作を中心に展開されたようです。

最大供給量は、レンディング市場内で特定の資産がどれだけ使用できるかを制限するように設計されています。これは、単一のトークンへの過度なエクスポージャーを防ぐための保護機能として機能します。

しかし、このケースでは、攻撃者がその制限を回避することに成功しました。

予防措置として、VenusはTHEの借入と出金を一時停止しました。チームはまた、流動性の低さが追加リスクをもたらす可能性のあるいくつかの市場での活動も停止しました。

一時停止された市場には以下が含まれます：

•  BCH
•  LTC
•  UNI
•  AAVE
•  FIL
•  TWT

混乱にもかかわらず、Venusはプロトコル上の他のほとんどの市場が完全に稼働していることを明らかにしました。

この事件を追跡しているセキュリティ研究者たちは、この攻撃が自発的なものではなかったと考えています。代わりに、数ヶ月にわたって複数の段階で計画され、実行されたようです。

数ヶ月にわたる静かな蓄積

この攻撃の最も注目すべき詳細の1つは、準備期間がどれだけ長く続いたかということです。

オンチェーンデータによると、攻撃者は2025年6月という早い時期からTHEトークンの蓄積を開始していました。

一度に大量購入するのではなく、ウォレットは9ヶ月かけて徐々にポジションを構築しました。攻撃が展開される頃には、このアドレスはVenus上のトークンの最大供給量の約84%を蓄積しており、それは1,450万THEに相当しました。

攻撃当日の11:00 UTCの時点で、ウォレットはすでに1,220万THEをプロトコルに供給しており、許容制限内に収まっていました。

その時点ではポジションに異常な点は何もなく、これが活動が後まで気づかれなかった理由を説明しているかもしれません。

真のブレイクスルーは、攻撃者がその上限をはるかに超えてポジションを拡大する方法を見つけたときに訪れました。

最大供給量の回避

標準的な入金プロセスを使用する代わりに、攻撃者はトークンを直接Venusプロトコルのコントラクトに転送しました。

そうすることで、通常最大供給量を強制するシステムを回避することに成功しました。

これにより、ウォレットは非常に短期間で担保資産のポジションを劇的に増やすことができました。

タイムラインは、事態がいかに急速にエスカレートしたかを示しています：

•  11:00 UTC：1,220万THE供給（上限内）
•  12:00 UTC：4,950万THE供給（上限の3倍以上）
•  12:42 UTC：5,320万THE供給

12:42 UTCまでに、攻撃者は合計5,320万THEトークンという大規模な担保資産ポジションを構築しており、これはプロトコルの意図した上限の約3.67倍でした。

このような大規模な担保資産基盤を確立した後、攻撃者はプラットフォームから資産を借り入れ始めることができました。

再帰的借入がTHE価格を押し上げる

過大な担保資産ポジションを確立した後、攻撃者は次の段階に移り、再帰的借入ループを通じてトークンの価格を操作しました。

戦略は繰り返しサイクルに従いました：

THEを入金 → 資産を借入 → さらにTHEを購入 → オラクル更新を待つ → 担保資産価値を増加 → 繰り返し

THEはオンチェーンの流動性の低さが相対的にあったため、適度な購入でさえ価格に顕著な影響を与えました。

ループが続くにつれて、トークンのオラクル価格は急激に上昇しました。データによると、攻撃中に価格は約0.27ドルから0.53ドル近くまで上昇しました。

この人為的な価格上昇により攻撃者の担保資産価値が高まり、それによってプロトコルからさらに大きな金額を借り入れることができました。

しかし、操作が終了し強制決済が始まると、価格は急速に反転し、約0.24ドルまで下落しました。

借入資産が数百万に到達

攻撃のピーク時、12:42 UTC頃のブロック86738236で記録された時点で、攻撃者のポジションは大幅に成長していました。

ウォレットは担保資産として5,320万THEトークンを供給していました。

その担保資産に対して、攻撃者はVenusから以下を含む複数の資産を借り入れました：

•  667万CAKE
•  2,801 BNB
•  1.97K WBNB
•  >158万USDC
•  20 BTCB

調査員はまた、この操作で役割を果たした第2の関連アドレス（0x737b）も特定しました。

そのウォレットは以前、担保資産として158万USDCを入金し、11:55 UTCに主要攻撃を開始した同じトランザクションで463万THEトークンを借り入れていました。

この二次ポジションの強制決済は、12:04 UTC頃に開始されました。

調査継続中のVenusの対応

攻撃の発見後、Venusチームは潜在的な損害を制限するために迅速に動きました。

プロトコルはTHE市場といくつかの他のリスクのある市場を一時停止し、プラットフォームのほとんどが影響を受けていないことを確認しました。

開発者たちは現在、何が起こったかを完全に理解するために、セキュリティパートナーや研究者と緊密に協力していると述べています。

チームはまた、調査が完了次第、詳細な事後報告書を公開することを約束しました。

プロトコルによると、今後の報告書には技術的な修正とセキュリティの改善、特にオラクルメカニズムと最大供給量の強制に関するものが含まれる可能性があります。

このような事件は分散型金融において新しいものではありませんが、オープンアクセスと強力なリスクコントロールのバランスを取ろうとする際にプロトコルが直面する課題を浮き彫りにしています。

現時点では、影響を受けた市場を安定させ、将来的に同様の攻撃を防ぐことに焦点が当てられています。

免責事項：これは取引や投資のアドバイスではありません。暗号資産を購入したり、サービスに投資したりする前には、必ずご自身で調査を行ってください。

X @nulltxnews で最新の暗号資産、NFT、AI、サイバーセキュリティ、分散コンピューティング、メタバースのニュースをフォローしてください！