Venus Protocol traci 2 mln USD po exploicie. Manipulacja tokenem THE wywołała chaos

Venus Protocol, największa platforma pożyczkowa na BNB Chain, padła w niedzielę ofiarą exploita. Celem był token THE, czyli natywny token DeFi „super-aplikacji" Thena, charakteryzujący się niską płynnością on-chain. Efekt? Szacowane 2,15 mln USD w postaci tzw. złych długów.

Schemat ataku był podręcznikowy - wpłać THE jako zabezpieczenie, pożycz inne aktywa, za uzyskane środki kup więcej THE, powtarzaj, aż srednia cena ważona w czasie (TWAP) zaktualizuje się do wywindowanej wartości. Venus umieścił THE w swoim Core Pool jako dozwolone zabezpieczenie i to był błąd, który atakujący bezlitośnie wykorzystał.

Cena THE została wypchnięta z około 0,27 USD do niemal 5 USD. Pierwszy alarm podniósł badacz on-chain Weilin Li, który rozpoznał schemat identyczny z exploitem Mango Markets z października 2022 roku - atakiem, który sam modelował w akademickim artykule z 2023 roku. Li przyznał, że zauważył atak dzięki automatycznemu programowi wykrywającemu rozbieżności między ceną na giełdach centralnych i zdecentralizowanych.

Aby obejść limit podaży THE na Venus Protocol, atakujący posłużył się tzw. donation attack - bezpośrednio przesyłając tokeny THE do kontraktu vTHE zamiast deponować je standardową drogą. To sztucznie zawyżyło kurs wymiany rozpoznawany przez protokół, skutecznie omijając narzucony cap.

Po pierwszej rundzie pożyczek TWAP zaktualizował cenę THE do około 0,50 USD - daleko poniżej wywindowanego poziomu spot, ale niemal dwukrotnie powyżej wartości sprzed ataku. Atakujący próbował kontynuować pompowanie, jednak presja sprzedażowa okazała się zbyt silna. Współczynnik zdrowia pozycji spadł do niemal 1, uruchamiając likwidację.

Przy około 30 mln USD nominalnego zabezpieczenia i praktycznie zerowej głębokości rynku, THE zostało zrzucone w próżnię. Cena po likwidacji runęła do około 0,24 USD - poniżej poziomu sprzed ataku.

Li ocenił, że atakujący on-chain niemal nic nie zarobił, choć zaznaczył możliwość posiadania offsetujących pozycji na kontraktach perpetual poza siecią. Sam Li zarobił przy okazji około 15 000 USD, shortując THE na rynku futures. Analityk blockchain EmberCN ustalił, że adres atakującego otrzymał 7 400 ETH startowego finansowania z mixera Tornado Cash.

Venus Protocol ma długą i bolesną historię podobnych incydentów. Manipulacja tokenem XVS w 2021 roku kosztowała go ponad 95 mln USD. Upadek Terra/LUNA w 2022 roku dołożył kolejne 14 mln USD. W lutym 2025 roku donation attack na wdrożeniu ZKSync wygenerował ponad 700 000 USD strat - przy niemal identycznym mechanizmie jak niedzielny exploit.