Сектор децентрализованных финансов (DeFi) в сети BNB Chain пострадал от серьезного нарушения безопасности: кредитный рынок протокола Venus был эксплуатирован, что привело к потере примерно $3,7 млн. Атака, произошедшая 28 апреля 2024 года, не была прямой уязвимостью основных смарт-контрактов протокола, а представляла собой сложную схему манипуляции рынком, нацеленную на конкретный низколиквидный актив, размещенный на платформе. Этот инцидент вновь подчеркивает сохраняющиеся риски, связанные с зависимостью от оракулов и листингом волатильных активов на DeFi-рынках денег.
Эксплойт был сосредоточен на токене THE — цифровом активе с относительно небольшой рыночной капитализацией и объемом торгов. По данным аналитиков блокчейн-безопасности, злоумышленник выполнил классическую атаку «манипуляции ценовым оракулом». Это было достигнуто путем искусственного завышения цены токенов THE на централизованной бирже MEXC, откуда ценовой оракул Venus получал данные. Подняв цену на MEXC, злоумышленник смог занять значительные суммы более стабильных криптовалют, таких как BNB и USDT, в протоколе Venus, используя искусственно переоцененные токены THE в качестве залога. После получения кредитов атакующий обменял заемные средства, что вызвало обвал манипулируемой цены и оставило протокол с недостаточно обеспеченными, по сути бесполезными, позициями по токену THE.
Протокол Venus, крупный алгоритмический денежный рынок в сети BNB Chain, признал инцидент. В своем постфактум-анализе команда Venus подтвердила, что вектором атаки стала манипуляция ценовым фидом с использованием единственного источника оракула для токена THE. Механизмы управления и параметры риска протокола, которые позволили листинг такого низколиквидного актива с минимальной конфигурацией оракула, оказались под пристальным вниманием. В ответ сообщество Venus приняло срочное управленческое предложение о приостановке всех заимствований и поставок ликвидности на затронутом рынке THE, чтобы предотвратить дальнейшие потери. Команда сейчас работает с партнерами по безопасности для отслеживания средств и изучения вариантов возврата, хотя вероятность полной компенсации остается низкой.
Данный эксплойт служит важным примером для всей экосистемы DeFi. Он высвечивает присущую уязвимость протоколов, зависящих от внешних ценовых данных, особенно от источников с ограниченной ликвидностью, которыми легко манипулировать. Инцидент подтверждает необходимость использования надежных оракулов, основанных на средневзвешенной по времени цене (TWAP), мульти-источниковых ценовых фидов и более консервативных параметров риска для активов с низкой рыночной глубиной. Для пользователей это суровое напоминание о сложных рисках в DeFi, где системные уязвимости могут возникать не только из-за ошибок в смарт-контрактах, но из-за экономического дизайна и внешних зависимостей платформ, которым они доверяют свои активы.
