Peretasan Venus Protocol memicu kerugian $3,7 juta setelah manipulasi token THE di BNB Chain

Eksploit baru pada pasar pinjaman terkemuka BNB Chain telah memicu kekhawatiran kembali tentang manajemen risiko DeFi, dengan peretasan Venus protocol terbaru yang kembali terkait dengan kelemahan oracle dan likuiditas.

Bagaimana manipulasi harga THE terjadi di Venus

Pada hari Minggu, Venus Protocol, platform pinjaman dominan di BNB Chain, diserang oleh serangan manipulasi harga yang canggih yang berfokus pada THE, token asli Thena. Insiden ini, yang menargetkan pasar aset tertentu, mengungkapkan kelemahan struktural dalam proses onboarding jaminan dan asumsi likuiditas.

Penyerang memanfaatkan likuiditas on-chain yang tipis untuk mendorong harga THE dari sekitar $0,27 menjadi hampir $5. Strateginya bergantung pada pengulangan menyetor token sebagai jaminan, meminjam aset lain, membeli lebih banyak THE dengan dana yang dipinjam, dan mengulangi proses ini. Selain itu, oracle harga Venus terus mengikuti nilai pasar yang dipermainkan selama siklus ini.

Untuk melewati batas pasokan THE di Venus, pelaku menggunakan teknik serangan donasi. Alih-alih menggunakan fungsi deposit standar, mereka mentransfer token langsung ke kontrak pintar vTHE. Aliran ini mengganggu nilai tukar internal protokol, secara efektif menetralkan batas pasokan yang dimaksudkan dan memungkinkan penciptaan jaminan yang berlebihan.

Dengan jaminan yang dipermainkan, pelaku mengeksploitasi dan menguras beberapa aset dari protokol. Mereka menarik 6,67 juta CAKE, 1,58 juta USDC, 2.801 BNB, dan 20 Bitcoin dalam waktu singkat, mengonversi penilaian THE yang dimanipulasi menjadi nilai nyata melalui beberapa token likuid.

Perkiraan kerugian, utang buruk, dan tanggapan darurat

Total kerusakan dari serangan ini melebihi $3,7 juta, menurut laporan dari Wu Blockchain. Namun, tidak semua kerugian ini tetap sebagai eksposur terbuka. Analis on-chain independen EmberCN memperkirakan sekitar $2,15 juta tetap sebagai utang buruk di Venus, terdiri dari sekitar 1,18 juta CAKE dan 1,84 juta THE yang tidak lagi cukup dijamin.

Alamat dompet yang melakukan operasi ini awalnya didanai dengan 7.400 ETH melalui Tornado Cash, mixer cryptocurrency yang berfokus pada privasi. Penggunaan alat seperti ini umum dalam eksploitasi kompleks dan membuat upaya atribusi serta pemulihan menjadi lebih menantang bagi penyelidik dan protokol yang terkena dampak.

Sebagai tanggapan, Venus Protocol mengumumkan di X bahwa mereka telah mendeteksi “aktivitas tidak biasa” di kolam likuiditas THE. Tim dengan cepat membekukan semua fungsi pinjaman dan penarikan terkait THE, menyatakan keputusan ini sebagai langkah darurat sambil melakukan tinjauan keamanan internal dan eksternal.

Trade-off dan potensi kerugian bersih penyerang

Proses eksploitasi tidak berjalan persis seperti yang diharapkan penyerang. Setelah loop pinjaman pertama, oracle harga berbobot waktu Venus hanya menyesuaikan penilaian THE menjadi sekitar $0,50, jauh di bawah level hampir $5 yang terlihat di perdagangan spot. Ini mengurangi nilai jaminan efektif di dalam protokol.

Namun, penyerang terus membeli THE menggunakan modal pinjaman, berusaha mempertahankan harga tinggi dan memaksimalkan kapasitas pinjaman. Namun, tekanan jual yang berkelanjutan membanjiri buku pesanan yang dangkal. Faktor kesehatan akun mendekati 1, memicu likuidasi dan memaksa penjualan jaminan ke pasar yang sedang jatuh cepat.

Pembalikan terjadi di pasar yang hampir tidak memiliki kedalaman. THE runtuh ke sekitar $0,24, bahkan lebih rendah dari harga sebelum serangan yang mendekati $0,27. Peneliti keamanan on-chain Weilin Li, yang pertama kali menandai insiden ini secara publik, berpendapat bahwa penyerang kemungkinan hanya mendapatkan keuntungan terbatas dari on-chain dan mungkin akhirnya mengalami kerugian bersih.

Hingga saat publikasi, THE diperdagangkan sekitar $0,2255, menandai penurunan lebih dari 17% dalam 24 jam terakhir. Selain itu, pembalikan tajam ini menegaskan bagaimana volatilitas ekstrem pada aset yang tidak likuid dapat membalikkan ekonomi dari apa yang awalnya tampak sebagai manipulasi yang menguntungkan.

Polanya insiden utang buruk di Venus

Insiden terbaru Venus Protocol ini menambah sejarah kerugian yang terkait dengan manipulasi pasar dan desain jaminan. Pada 2021, skema yang melibatkan token XVS asli platform menghasilkan lebih dari $95 juta utang buruk, meninggalkan protokol dan komunitasnya dengan lubang besar yang harus diperbaiki.

Kemudian, selama keruntuhan Terra/LUNA pada 2022, Venus menyerap sekitar $14 juta eksposur tanpa jaminan. Namun, kerugian tersebut disebabkan oleh kegagalan pasar sistemik dan bukan eksploitasi langsung, menyoroti dimensi risiko yang berbeda tetapi terkait dalam platform pinjaman multi-aset.

Lebih baru-baru ini, pada Februari 2025, eksploitasi berbasis donasi serupa menyerang penerapan Venus di ZKSync. Penyerang menggunakan mekanisme yang hampir identik dengan insiden hari Minggu untuk menciptakan utang buruk lebih dari $700.000. Pengulangan pola ini di berbagai lingkungan telah memperkuat pengawasan terhadap bagaimana protokol menangani onboarding jaminan dan perilaku edge-case.

Risiko desain berbasis Compound dan peringatan yang diabaikan

Kerentanan utama yang digunakan di sini tidak unik untuk Venus Protocol. Eksploitasi gaya donasi ini merupakan kelemahan desain yang sudah dikenal dalam sistem pinjaman turunan dari Compound, di mana transfer token langsung ke pasar berbunga dapat mengganggu perhitungan yang mendukung penilaian jaminan dan logika batas pasokan.

Pentingnya, tinjauan keamanan Code4rena terhadap Venus telah menandai kategori risiko ini sebelumnya. Namun, tim pengembang dilaporkan meragukan tingkat keparahan temuan tersebut saat itu, dan memilih untuk tidak menerapkan mitigasi penuh. Kembalinya serangan yang hampir identik sekarang menimbulkan kritik baru terhadap keputusan tersebut dari para peneliti keamanan dan pengguna.

Bagi pasar DeFi di BNB Chain dan seterusnya, peretasan Venus protocol terbaru ini menegaskan bagaimana masalah teoretis yang sudah dikenal dapat berujung pada kerugian nyata jika tidak ditangani. Ke depan, pengendalian yang lebih ketat terhadap likuiditas jaminan, sumber oracle, dan transfer gaya donasi kemungkinan akan menjadi pusat upaya untuk mengembalikan kepercayaan.

Singkatnya, serangan terhadap Venus yang melibatkan manipulasi harga THE, ketergantungan pada oracle, dan vektor donasi untuk menghasilkan kerusakan lebih dari $3,7 juta, sekaligus kembali mengungkap risiko struktural jangka panjang dalam protokol pinjaman berbasis Compound.