Ландшафт децентрализованных финансов (DeFi) потрясла очередная значительная эксплуатация уязвимости: протокол Venus в сети BNB Chain подтвердил потерю примерно $3,7 млн. Инцидент, произошедший 10 декабря 2024 года, был осуществлен с помощью сложной атаки с использованием флеш-кредита, которая манипулировала оракулом цен протокола для токена liquid staked BNB (snBNB). Этот взлом подчеркивает сохраняющиеся уязвимости в композитной структуре DeFi, особенно в части зависимости от оракулов и механик пулов ликвидности.
По данным аналитиков блокчейн-безопасности, злоумышленник начал атаку, взяв огромный флеш-кредит. Затем он внес эти средства в Venus, чтобы занять значительное количество snBNB под залог. Ключевая манипуляция произошла на уровне оракула. Атакующий искусственно завысил цену snBNB на децентрализованной бирже (DEX), выполнив серию свопов при низкой ликвидности, создав ложную рыночную цену. Оракул Venus, который полагался на этот источник цен с DEX, принял завышенную оценку. Это позволило злоумышленнику занять чрезмерное количество других активов под переоцененный залог snBNB, в конечном итоге выведя около $3,7 млн из пулов протокола до погашения первоначального флеш-кредита.
В ответ команда протокола Venus временно приостановила все операции по займам и кредитованию, связанные с рынком snBNB, чтобы предотвратить дальнейший ущерб. Чрезвычайный комитет безопасности активно расследует полный масштаб атаки и оценивает необходимые шаги для восстановления и компенсации. Команда заверила сообщество, что средства пользователей на других, незатронутых рынках остаются в безопасности. Это событие вновь разожгло дискуссии в сообществе DeFi о необходимости более надежных оракулов, использующих средневзвешенные по времени цены (TWAP), и механизмов аварийной остановки (circuit breakers), которые могут обнаруживать и останавливать такие манипулятивные торговые паттерны до того, как они парализуют протокол.
Эксплуатация уязвимости в Venus на $3,7 млн — это суровое напоминание об угрозах сложного финансового инжиниринга, с которыми сталкивается DeFi. В то время как флеш-кредиты обеспечивают мощные, беспермиссивные финансовые инструменты, они также предоставляют злоумышленникам капитал, необходимый для выполнения таких сложных манипуляций. Вектор атаки — манипуляция оракулами — остается классическим, но эффективным методом. Для созревания экосистемы и привлечения институционального капитала протоколы должны внедрять более устойчивые решения для оракулов, которые устойчивы к краткосрочным рыночным манипуляциям и включают многоуровневые аудиты безопасности. Инцидент с Venus, вероятно, станет примером для других протоколов по усилению своей оборонительной позиции.
