Децентрализованный протокол кредитования и займов Venus Protocol стал жертвой значительной атаки, в результате которой было похищено примерно $3,7 млн. Эксплойт, произошедший в сети BNB Chain, был осуществлен с помощью сложной схемы манипуляции ценами, нацеленной на изолированный пул кредитования протокола для токена THE. Этот инцидент вновь подчеркивает сохраняющиеся уязвимости, связанные с зависимостью от оракулов и конфигурацией изолированных пулов в экосистеме DeFi, даже на устоявшихся платформах.
По данным аналитиков блокчейн-безопасности, злоумышленник воспользовался критическим изъяном в механизме предоставления ценовых данных для токена THE. Искусственно завысив цену токена на децентрализованной бирже (DEX) с относительно низкой ликвидностью, злоумышленник смог заимствовать значительные объемы других активов из Venus Protocol под залог токенов THE с искусственно завышенной стоимостью. Этот вектор атаки является классическим примером манипуляции оракулом, когда злоумышленник создает вводящую в заблуждение рыночную цену, которую оракул протокола затем воспринимает, что приводит к некорректной оценке залога. Использование Venus Protocol изолированного пула для THE — дизайна, призванного ограничить риск распространения, — оказалось недостаточным для предотвращения такого рода целевого финансового инжиниринга.
Последствия эксплойта вызвали оперативный ответ со стороны команды Venus Protocol и более широкого сообщества BNB Chain. Администраторы протокола временно приостановили работу затронутого изолированного пула, чтобы предотвратить дальнейшее несанкционированное заимствование. Проводится расследование непосредственно в блокчейне для отслеживания похищенных средств, и, по сообщениям, команда сотрудничает с централизованными биржами для блокировки адресов злоумышленника. Это событие служит суровым напоминанием для проектов DeFi о необходимости тщательного аудита и потенциальной децентрализации своих оракульных решений, внедрения автоматических прерывателей при аномальных ценовых движениях и постоянного пересмотра параметров риска для всех листинговых активов, особенно тех, что находятся в изолированных пулах.
Хотя потеря в $3,7 млн является существенной, она ограничена конкретным изолированным пулом, что предотвратило системный крах всего протокола Venus. Тем не менее, брешь подрывает доверие пользователей и подчеркивает продолжающуюся гонку вооружений между разработчиками DeFi и эксплойтерами. Для пользователей этот инцидент подтверждает важность понимания рисков, связанных с новыми или менее ликвидными активами, предоставляемыми в качестве залога в протоколах DeFi. По мере взросления индустрии надежные, устойчивые к атакам оракульные сети и более динамичные фреймворки управления рисками становятся обязательными компонентами для любого протокола, стремящегося обезопасить средства пользователей в пермиссионной финансовой среде.
