📝 Огляд інциденту: Flash Loan атака на Venus Protocol

14 березня 2026 року платформа кредитування Venus Protocol на BNB Chain зазнала складної атаки за допомогою flash loan, що призвела до втрати понад $3,7 млн різних крипто-активів. Атака спеціально спрямована на інтеграцію платформи з низьколіквідним токеном THENA (THE), що привело до падіння його ціни на понад 17% за 24 години.

Зловмисник, ідентифікований за адресою 0x1a35…6231, зумів забрати приблизно 20 BTCB (Bitcoin BEP2), 1,5 млн токенів CAKE та 200 BNB.

🕵️ Як була здійснена атака

Це була не проста одноетапна атака. Це був ретельно спланований експлойт, який поєднував стратегію довгострокового накопичення зі складною короткостроковою маніпуляцією ціною за допомогою flash loan. Атаку можна розділити на два основні етапи:

1. Довга гра: накопичення THE (június 2025 - березень 2026)
· Протягом дев'яти місяців до атаки експлуатант повільно й непомітно накопичував величезну позицію в токенах THE. Вони придбали близько 84% ліміту пропозиції THE на Venus, що становило приблизно 14,5 млн токенів.
· Це довгострокове накопичення підготувало ґрунт для основного експлойту, забезпечивши їм велику базу цільового токена.
2. Коротка гра: Flash Loan і маніпуляція оракулом
· Flash Loan: Зловмисник отримав величезний flash loan (необезпечена позика, яку необхідно погасити протягом одної блокчейн-транзакції) стейблкоїну на кшталт USDC.
· Завищення ціни THE: Вони використали запозичені кошти для придбання величезної кількості THE на децентралізованій біржі, як-от PancakeSwap. Оскільки THE мав низьку ліквідність, цей шопінг штучно підняв його ціну з близько $0,263 до майже $0,563.
· Експлуатація оракула: Venus Protocol покладався на TWAP (Time-Weighted Average Price) оракул для визначення цін активів. Величезна покупка зловмисника маніпулювала ринковою ціною, а коли оракул оновився, це відбилося на цій штучно завищеній ціні.
· Депозит завищеного забезпечення: Зловмисник обійшов звичайні ліміти депозитів, передавши токени THE безпосередньо до протокольного контракту, створивши позицію забезпечення в 53,2 млн THE — майже 3,7 разів перевищивши допустимий ліміт.
· Запозичення реальних активів: З забезпеченням, оціненим за завищеною ціною, отриманою від оракула, зловмисник запозичив значні суми реальних цінних активів з Venus: BTCB, CAKE та BNB.
· Погашення і отримання прибутку: Нарешті, вони продали частину решти THE для відшкодування коштів, погасили flash loan і забрали запозичені активи як чистий прибуток. Після того як штучний тиск на покупку зупинився, ціна THE впала назад до близько $0,22, залишивши Venus з беззмістовним забезпеченням.

⚠️ Негайні наслідки та реакція протоколу

Venus Protocol швидко діяла, щоб локалізувати збиток і запобігти подальшим експлойтам:

· Паузовані ринки: Вони негайно призупинили всі запозичення та зняття коштів для THE, а також для кількох інших ринків, які показали високу концентрацію ліквідності (BCH, LTC, UNI, AAVE, FIL та TWT).
· Зниження ризику: Коефіцієнт забезпечення (CF) для цих шести ринків, а також lisUSD, було зведено до нуля. Цей захід спрямований на ринки, де один користувач володіє непропорційно великою часткою поданого забезпечення, запобігаючи його використанню для подальшого запозичення.
· Поточне розслідування: Команда заявила, що всі інші ринки залишаються функціональними й незатронутими. Вони взялися на себе зобов'язання опублікувати детальний звіт про розслідування після завершення своєї роботи.

Цей інцидент додається до історії проблем безпеки Venus Protocol, включаючи $95 млнову подію неправильного боргу в 2021 році та збитки, пов'язані з колапсом Terra/LUNA та хаком моста BNB Chain у 2022 році.

Надіюся, цей детальний розбір буде корисним. Чи хотіли б ви, щоб я докладніше пояснив, як працюють flash loan, або надав оновлення про цінову дію THENA після цієї події?