Atak pożyczki błyskawicznej na Venus Protocol powoduje stratę 3,7 mln USD w sieci BNB Chain

TLDR:

• Venus Protocol stracił 3,7 mln USD w wyniku ataku flash loan z wykorzystaniem tokena THE jako zabezpieczenia.
• Cena tokena THE wzrosła do 0,563 USD, po czym spadła do 0,22 USD podczas zdarzeń likwidacyjnych.
• Sześć rynków Venus, w tym BCH i LTC, zostało tymczasowo zamrożonych po exploicie.
• Pożyczanie i wypłaty tokena THE zostały wstrzymane, podczas gdy trwa dochodzenie.

Atak flash loan na Venus Protocol w sieci BNB Chain spowodował straty przekraczające 3,7 miliona USD. Token THE został wykorzystany do manipulacji zabezpieczeniem, umożliwiając atakującemu pożyczenie aktywów o wysokiej wartości przed załamaniem się rynku.

Mechanika exploitu i strategia pożyczkowa

Atak flash loan na Venus Protocol był skierowany na Core Pool w sieci BNB Chain, wykorzystując token THE jako zabezpieczenie. Atakujący zgromadził około 84% podaży THE przez dziewięć miesięcy, przygotowując się do exploitu.

Zamiast postępować zgodnie ze standardowym procesem wpłaty, atakujący bezpośrednio przeniósł tokeny do kontraktu vTHE. Pozwoliło to na pozycje zabezpieczające znacznie przekraczające limit podaży, osiągając 53,2 miliona tokenów THE, prawie 3,7 razy więcej niż limit protokołu.

Wykorzystując to zawyżone zabezpieczenie, atakujący pożyczył około 20 BTC, 1,5 miliona CAKE, 200 BNB i 1,58 miliona USDC. 

Strategia powtarzała się w pętli: wpłać THE, pożycz aktywa, kup więcej THE i czekaj, aż wyrocznia TWAP się dostosuje, zawyżając wartość zabezpieczenia.

Manipulacja spowodowała skok ceny THE z 0,263 USD do 0,563 USD, po czym spadła do 0,22 USD w miarę następujących likwidacji. Ten wzorzec odzwierciedlał wcześniejsze exploity DeFi obejmujące tokeny o niskiej płynności i zautomatyzowane likwidacje.

Odpowiedź Venus Protocol i środki rynkowe

Po ataku Venus zamroził sześć rynków wysokiego ryzyka, w tym BCH, LTC, UNI, AAVE, FIL i TWT. Pożyczanie i wypłaty tokenów THE zostały tymczasowo wstrzymane, podczas gdy wszystkie inne rynki pozostały operacyjne.

Dochodzenia sugerują, że atakujący mógł użyć Tornado Cash do finansowania operacji. Venus od tego czasu zaostrzyło zasady zabezpieczeń i planuje przegląd mechanizmów wyroczni, aby zapobiec podobnym atakom w przyszłości.

Szacowany zły dług waha się od 1,7 miliona USD do 2,15 miliona USD, głównie z rynku CAKE. Protokół potwierdził, że nietypowa aktywność była ograniczona do rynków THE i CAKE i nie wpłynęła na szerszy ekosystem.

Analitycy bezpieczeństwa nadal monitorują Venus, aby ocenić obsługę tokenów o niskiej płynności. Inwestorom zaleca się ostrożność przy pożyczaniu lub wypożyczaniu takich tokenów, zapewniając wdrożenie solidnych protokołów w celu zminimalizowania ryzyka.

Post Venus Protocol Flash Loan Attack Causes $3.7M Loss on BNB Chain ukazał się najpierw na Blockonomi.