Venus Protocol — найбільший кредитний децентралізований сервіс на BNB Chain — оголосив про замороження застави ще на шести ринках після атаки, в ході якої зловмисник скористався низькою ліквідністю токена THE (THENA) та вивів орієнтовно $3,7 млн у цифрових активах.
Фахівці з безпеки ідентифікували адресу зловмисника як 0x1a35…6231. Ця адреса отримала 7 400 ETH з міксера Tornado Cash перед проведенням атаки.
Venus: заморожено 6 ринків через ризик концентрації
Зловмисник накопичив значну позицію в THE, штучно піднявши ціну цього активу з близько $0,27 до майже $5. Таку тенденцію відзначив ончейн-дослідник Вейлін Лі.
Отриману переоцінену заставу було використано для позики приблизно 20 BTCB, 1,5 млн CAKE і 200 BNB. Після ліквідації позиції вартість THE повернулася до $0,24.
Щоб обійти ліміт Venus на розміщення активу, зловмисник передав токени THE безпосередньо на контракт vTHE, уникаючи класичної процедури мінтингу. Подібна техніка вже фіксувалася в кредитних протоколах, побудованих на основі форку Compound, як відомий вектор вразливості.
THENA зазначила, що її системи безпеки зафіксували інцидент приблизно об 12:00 UTC. Підтверджено, що їхній смартконтракт залишився непорушеним — жодного вторгнення не зафіксовано.
Venus офіційно затвердила наявність аномальної активності на ринках THE і CAKE.
У відповідь Venus анулювала фактори застави до нуля на ринках Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL) і Trust Wallet Token (TWT).
Обмеження торкнулися ринків із показником ринкової капіталізації менше 2 млрд, денним обсягом торгів до 100 млн, DEX TVL менш ніж 40 млн, а також концентрацією застави в одного користувача понад 60%.
Venus накопичила проблемну заборгованість внаслідок низки експлойтів з 2021 року, включаючи $95 млн через маніпуляцію відповідно XVS і ще $14 млн після обвалу Terra/LUNA. Загальна вартість заблокованих активів протоколу знизилась із пікового значення 7 млрд до приблизно 1,47 млрд.
