Choć zredukowany do bankomatu hakera, a mimo to wciąż stojący na nogi, przypadek kradzieży z portfela Venus pokazuje niezręczność DeFi.

Autor: Gu Yu, ChainCatcher

Hakerzy są śmiertelnymi wrogami każdego protokołu DeFi. Zdecydowana większość protokołów DeFi słabnie i podupada po atakach, które kończą się stratami w wysokości milionów dolarów. Jednak jako flagowy protokół pożyczkowy łańcucha BNB i inkubowany projekt Binance, Protokół Wenus jest wyraźnie rzadkim wyjątkiem.

Wenus została opracowana przez zespół Swipe, który został przejęty przez Binance, i została uruchomiona w miesiąc po uruchomieniu głównej sieci łańcucha BNB w 2020 roku. Szybko stała się największym protokołem pożyczkowym w łańcuchu BNB pod względem zablokowanych aktywów i skali użytkowników. Według RootData obecna FDV tokenów Wenus wynosi 94 miliony dolarów, a TVL 1,47 miliarda dolarów.

Niedawno Wenus ponownie stała się celem ataku hakerskiego. Według oficjalnej analizy zespołu, napastnik zaczął gromadzić tokeny THE poprzez normalne procesy depozytowe od czerwca 2025 roku, ostatecznie posiadając około 12,2 miliona THE o wartości 2,4 miliona dolarów.

15 marca napastnik bezpośrednio zdeponował wszystkie tokeny THE jako zabezpieczenie w umowie pożyczki, wykorzystując ekstremalnie niską płynność THE w sieci w połączeniu z opóźnieniami w oraku TWAP, aby przeprowadzić rekurenną manipulację ceną, pożyczając miliony dolarów w BTC, BNB, CAKE i innych aktywach.

Gdy cena THE spadła, wywołując łańcuch likwidacji, incydent ten ostatecznie spowodował złe długi w wysokości około 2,15 miliona dolarów dla Wenus. Patrząc wstecz na historię ostatnich kilku lat, Wenus była atakowana przez hakerów niemal co roku, szczególnie ataki na oraki, co doprowadziło do skumulowanych złych długów w wysokości ponad 100 milionów dolarów.

Incydent z manipulacją ceną oraku w systemie XVS

W maju 2021 roku napastnik wykorzystał względny brak płynności tokenów XVS na giełdach scentralizowanych (głównie Binance), aby szybko podnieść cenę XVS z około 70 USD do ponad 140 USD w krótkim czasie. Następnie napastnik wykorzystał posiadane tokeny XVS jako zabezpieczenie, aby pożyczyć dużą ilość wysokiej jakości aktywów (około 2000 BTC i 5700 ETH) z protokołu Venus.

W rezultacie cena XVS gwałtownie spadła, osiągając minimalny poziom 31 USD, co spowodowało masowe likwidacje. Ze względu na to, że płynność rynku nie była w stanie udźwignąć tak masowej wyprzedaży, protokół Venus poniósł straty przekraczające 95 milionów USD z tytułu złych długów.

Po tym incydencie protokół ogłosił, że zespół Swipe wycofa się z zarządzania, a nową radę złożoną z członków społeczności przejmie dalsze zarządzanie protokołem, ale nadal utrzymywał silne powiązania z Binance.

Incydent z awarią LUNA

W maju 2022 roku, podczas tego miesięcznego incydentu z awarią LUNA, rzeczywista cena LUNA gwałtownie spadła poniżej 0,1 USD w krótkim czasie. Jednakże, z powodu zatrzymania aktualizacji przez orła Chainlink po tym, jak cena spadła do określonego progu (0,10 USD), protokół Venus nadal akceptował zabezpieczenie LUNA po błędnej „wysokiej cenie” 0,1 USD.

Po odkryciu tej luki, napastnik kupił dużą ilość LUNA po niskiej cenie na rynku wtórnym i zdeponował ją w Venus, używając zawyżonej wartości jako zabezpieczenia do pożyczenia innych aktywów, co spowodowało ponad 11,2 miliona dolarów złych długów dla protokołu.

Incydent z orakulem Binance

W grudniu 2023 roku, z powodu wykorzystania przez Venus danych z cenowego kanału Binance Oracle w izolowanym pulą pożyczek dla aktywów o niskiej płynności snBNB, napastnik kupił snBNB w tym bardzo małym pulą na PancakeSwap. Z powodu wyjątkowo niskiej głębokości, cena snBNB natychmiast wzrosła do absurdalnego poziomu.

Następnie napastnik zdeponował 0,49 snBNB i pożyczył prawie wszystkie dostępne aktywa w pulą (w tym WBNB, BNBx, ankrBNB itp.), na łączną kwotę około 274 000 USD, która została później wypłukana przez most międzyłańcuchowy. Ostatecznie zarząd Venus zaproponował wykorzystanie funduszy skarbowych w celu pełnego pokrycia tego złego długu.

Incydent z manipulacją ceną w Oracle wUSDM

W lutym 2024 roku napastnik wykorzystał lukę w protokole ERC-4626, sztucznie powodując, że cena stablecoina wUSDM wydanego przez Mountain Protocol w krótkim czasie wzrosła do 1,7 USD. Następnie napastnik zdeponował niewielką ilość wUSDM w protokole Venus.

Ze względu na to, że wróżka odczytała zmanipulowaną „fałszywą wysoką cenę”, napastnik wykorzystał te wycenione wUSDM jako zabezpieczenie do pożyczenia innych aktywów o wyższej wartości w puli (takich jak USDC, ETH itp.). Gdy cena wUSDM wróciła do normalnej wartości 1 USD, napastnik już przeniósł pożyczone aktywa i ich nie zwrócił, co spowodowało, że po likwidacji transakcji Venus miał zaległe długi w wysokości około 716 000 USD.

Kontrowersje dotyczące zarządzania przez społeczność

Oprócz powyższych incydentów związanych z atakami, Venus stała się również przedmiotem zewnętrznej kontroli z powodu incydentu związanego z zarządzaniem we wrześniu 2021 roku. W tym czasie użytkownik społeczności Venus zaproponował propozycję zatytułowaną „Tworzenie zespołu Bravo”, której celem było przyznanie zespołowi takich samych uprawnień do głosowania i zbierania funduszy jak oryginalnemu zespołowi zarządzającemu.

Jednakże, inicjator rzekomo nakłaniał do głosowania, obiecując dystrybucję tokenów. Zgodnie z opisem propozycji, z proponowanego finansowania w wysokości 1,9 miliona tokenów XVS, zespół Bravo miał rozdać 900 000 XVS (29 milionów dolarów) adresom, które głosowały za. Ostatecznie, 14 września o godzinie 22:33, propozycja została przyjęta 1,29 miliona głosów za i 1,19 miliona głosów przeciw.

Zgodnie z zasadami branżowymi, propozycje zarządzania na łańcuchu powinny być realizowane przez zespół po zatwierdzeniu przez głosowanie. Jednak zespół Venus „anulował” uchwałę jednym kliknięciem, twierdząc, że miało to na celu zapobieżenie anonimowym osobom kontrolowaniu protokołu poprzez przekupstwo. Jest to jeden z rzadkich przypadków w branży DeFi, w którym propozycja lub głosowanie w ramach zarządzania na łańcuchu zostało przyjęte, ale nie wdrożone.

Ponadto, we wrześniu 2025 r. doszło do incydentu bezpieczeństwa w protokole Venus, który spowodował straty użytkowników przekraczające 13 milionów dolarów, ale wynikało to głównie z faktu, że interfejs komputerowy użytkownika został zhakowany przez hakerów, co skłoniło ich do podpisania transakcji „delegacji”, a nie z powodu luki w samym Venus.

Dlaczego Venus stał się „Przeżywalcem”

W świetle tych incydentów z atakami, Venus można uznać za rzadkiego „przetrwalnika” w świecie kryptowalut i być może stał się on „najbardziej doświadczonym” projektem w radzeniu sobie z atakami hakerskimi. Wynika to w dużej mierze z ciągłego wsparcia ze strony Binance w zakresie zasobów i marki dla Venus jako kryptogiganta. Nawet po tak wielu incydentach związanych z bezpieczeństwem, Binance nadal bezpośrednio kieruje użytkowników giełdy do dokonywania wpłat na Venus za pośrednictwem funkcji finansowych w celu uzyskania wyższych zysków.

Statystyki TVL na łańcuchu blokowym Venus Źródło: DeFillama

Powszechnie wiadomo, że Binance ma absolutną władzę w ekosystemie łańcucha BNB. Jako główny obiekt wsparcia dla Binance w dziedzinie pożyczek, Venus zawsze korzysta z możliwości ekologicznego nachylenia i pokrycia ryzyka, których większość innych projektów DeFi nie ma, nawet jeśli może wystąpić szereg zagrożeń bezpieczeństwa.

Z perspektywy branży, w tych przypadkach podkreśla się również słabości DeFi. Niezależnie od tego, czy są to opóźnienia w działaniu orakuli, aktywa o niskiej płynności, manipulacje cenami czy słabości mechanizmu zarządzania, problemy te wielokrotnie pojawiały się w historii Venus i wielu innych projektów DeFi.

W wysoce zautomatyzowanych systemach DeFi, dopóki istnieje błąd projektowy w jakimkolwiek ogniwie, atakujący mogą często wykorzystywać różnice cen, płynności lub czasowe do konstruowania złożonych ataków arbitrażowych.

Zdolność Wenus do przetrwania wielu kryzysów w dużej mierze opiera się na silnym wsparciu ekologicznym i możliwościach rekompensaty finansowej. Jednak w przypadku zdecydowanej większości projektów DeFi atak o wartości dziesiątków milionów dolarów często wystarczy, aby doprowadzić cały protokół do końca.

"Wyjątek" Wenus nie tylko potwierdza zdolność wiodących ekosystemów do ochrony projektów, ale także podkreśla ogólną kruchość systemu bezpieczeństwa DeFi — gdy bezpieczeństwo może polegać tylko na "potężnym wsparciu", a nie na własnych mechanizmach kontroli ryzyka protokołu, prawdziwe bezpieczeństwo DeFi wciąż ma długą drogę do pokonania.