Зведений до банкомату хакера, але все ще високий, крадіжка Венери відображає незручність DeFi

Автор: Гу Юй, ChainCatcher

Хакери є смертельними ворогами будь-якого протоколу DeFi. Переважна більшість протоколів DeFi слабшає і занепадає після атак, що призводять до втрат у мільйони доларів. Однак, як флагманський протокол кредитування мережі BNB і інкубаційний проект Binance, протокол Venus є явно рідкісним винятком.

Venus розроблений командою Swipe, яку придбала Binance, і був запущений у місяць після запуску основної мережі BNB Chain у 2020 році. Він швидко став найбільшим протоколом кредитування в BNB Chain з точки зору заблокованих активів і масштабу користувачів. За даними RootData, поточна ринкова вартість токенів Venus становить 94 мільйони доларів, а TVL - 1,47 мільярда доларів.

Нещодавно Venus знову став мішенню хакерської атаки. Згідно з офіційним оглядом команди, зловмисник почав накопичувати токени THE через звичайні процеси депозиту, починаючи з червня 2025 року, і в підсумку отримав близько 12,2 мільйона THE, вартість яких становить 2,4 мільйона доларів.

15 березня зловмисник безпосередньо розмістив усі токени THE як заставу в кредитний контракт, використовуючи надзвичайно низьку ліквідність THE в ланцюжку в поєднанні з затримками оракула TWAP для проведення рекурсивної маніпуляції цінами, позичаючи мільйони доларів у BTC, BNB, CAKE та інших активах.

Коли ціна THE обвалилася, що спричинило ланцюг ліквідацій, цей інцидент у підсумку призвів до появи приблизно 2,15 мільйона доларів проблемної заборгованості для Venus. Озираючись на історію останніх кількох років, Venus майже щороку стикався з хакерськими атаками, зокрема атаками на оракула, що призвело до кумулятивної проблемної заборгованості понад 100 мільйонів доларів.

Інцидент з маніпуляцією цінами оракула XVS

У травні 2021 року зловмисник скористався відносною відсутністю ліквідності токенів XVS на централізованих біржах (в основному Binance), щоб швидко підняти ціну XVS з приблизно 70 до понад 140 доларів за короткий період. Зловмисник потім використав XVS, які він тримав як заставу, щоб позичити велику кількість високоякісних активів (близько 2000 BTC і 5700 ETH) з протоколу Venus.

Згодом ціна XVS різко впала, опустившись до мінімуму в 31 долар, що спричинило масштабні ліквідації. Оскільки ринкова ліквідність не змогла підтримати такий масовий розпродаж ліквідаційних активів, протокол Venus зазнав збитків на суму понад 95 мільйонів доларів.

Після цього інциденту протокол оголосив, що команда Swipe вийде з управління, а новий рада, що складається з членів спільноти, візьме на себе подальше управління протоколом, але він все ще зберігав сильну підтримку Binance.

Інцидент з крахом LUNA

У травні 2022 року, під час інциденту з крахом LUNA того місяця, реальна ціна LUNA швидко впала нижче $0,1 за короткий час. Однак через те, що Chainlink oracle припинив оновлення після того, як ціна впала до певного порогу ($0,10), протокол Venus продовжував приймати LUNA в якості забезпечення за помилкову "високу ціну" $0,1.

Після виявлення цієї вразливості зловмисник купив велику кількість LUNA за низькою ціною на вторинному ринку та поклав її в Venus, використовуючи завищену вартість як забезпечення для запозичення інших активів, що призвело до появи простроченої заборгованості на суму понад $11,2 мільйона для протоколу.

Інцидент з Oracle Binance

У грудні 2023 року, через те, що Venus використовував дані про ціни від Binance Oracle в ізольованому пулі кредитування активу з низькою ліквідністю snBNB, зловмисник купив snBNB у цьому дуже маленькому пулі на PancakeSwap. Через надзвичайно малу глибину ціна snBNB миттєво зросла до абсурдного рівня.

Тоді зловмисник поклав 0,49 snBNB і позичив майже всі доступні активи в пулі (включаючи WBNB, BNBx, ankrBNB тощо), загальною вартістю приблизно 274 000 доларів, які пізніше вивели через кросс-чейн міст. Зрештою, управління Венерою запропонувало використати кошти скарбниці для повного покриття цього безнадійного боргу.

Інцидент з маніпулюванням ціною оракула wUSDM

У лютому 2024 року зловмисник скористався вразливістю в протоколі ERC-4626, штучно підвищивши ціну стейблкоїна wUSDM, випущеного Mountain Protocol, до 1,7 долара за короткий час. Зловмисник потім поклав невелику суму wUSDM у протокол Venus.

Через те, що оракул прочитав маніпульовану "несправжню високу ціну", зловмисник використав ці заставні wUSDM з завищеною вартістю, щоб позичити інші активи вищої вартості в пулі (наприклад, USDC, ETH тощо). Коли ціна wUSDM повернулася до нормального рівня $1, зловмисник вже перевів позичені активи і не повернув їх, що призвело до приблизно $716,000 простроченої заборгованості для Venus після ліквідації транзакції.

Суперечка щодо управління спільнотою

Окрім вищезазначених інцидентів з атаками, Venus також зіткнулася з зовнішнім контролем через інцидент з управлінням у вересні 2021 року. У той час користувач спільноти Venus запропонував пропозицію під назвою "Формування команди Bravo", яка мала на меті надати команді такі ж права голосування та можливості збору коштів, як і оригінальній команді управління.

Однак ініціатор нібито схиляв до голосування, обіцяючи роздати токени. Згідно з описом пропозиції, з запропонованого фінансування у розмірі 1,9 мільйона токенів XVS команда Bravo мала роздати 900 000 XVS (29 мільйонів доларів) адресам, які проголосували за. Зрештою, 14 вересня о 22:33 пропозиція була прийнята 1,29 мільйона голосами "за" та 1,19 мільйона голосами "проти".

Відповідно до галузевих принципів, пропозиції щодо управління в ланцюжку повинні виконуватися командою після того, як вони були схвалені голосуванням. Однак команда Venus "скасувала" резолюцію одним кліком, заявивши, що вона спрямована на запобігання анонімним особам контролювати протокол через хабарництво. Це один із рідкісних випадків у галузі DeFi, коли пропозиція або голосування за управлінням у ланцюжку було прийнято, але не реалізовано.

Крім того, у вересні 2025 року в протоколі Venus стався інцидент з безпекою, в результаті якого збитки користувачів перевищили 13 мільйонів доларів, але це було в основному через те, що комп'ютерний інтерфейс користувача був підроблений хакерами, що змусило їх підписати транзакцію "делегування", а не через вразливість у самій Venus.

Чому Venus стала "виживцем"

У світлі цих інцидентів з атаками Venus можна вважати рідкісним "виживцем" у криптосвіті, і вона, можливо, стала "найдосвідченішим" проектом у боротьбі з хакерськими атаками. Це значною мірою пов'язано з постійною підтримкою Binance у плані ресурсів і бренду для Venus як криптогіганта. Навіть після багатьох інцидентів з безпекою Binance все ще безпосередньо направляє користувачів біржі вносити депозити у Venus через фінансові функції для отримання вищого доходу.

Статистика TVL Venus в ланцюжку блоків Джерело: DeFillama

Загальновідомо, що Binance має абсолютний авторитет в екосистемі BNB Chain. Як основний об'єкт підтримки Binance у сфері кредитування, Venus завжди користується екологічними перевагами та можливостями покриття ризиків, яких більшість інших проектів DeFi не мають, навіть якщо може виникнути низка ризиків для безпеки.

З точки зору галузі, уразливості DeFi також висвітлюються в цих випадках. Будь то затримки оракула, активи з низькою ліквідністю, маніпуляції з цінами або вразливості механізму управління, ці проблеми неодноразово з'являлися в історії Venus та багатьох інших проектів DeFi.

У високоавтоматизованих системах DeFi, якщо в будь-якій ланці є конструктивний недолік, зловмисники часто можуть використовувати цінові, ліквідні або часові розбіжності для побудови складних арбітражних атак.

Здатність Venus виживати в умовах численних криз значною мірою залежить від сильної екологічної підтримки та можливостей фінансової компенсації. Однак для переважної більшості проектів DeFi часто достатньо атаки на десятки мільйонів доларів, щоб привести весь протокол до його завершення.

"Виняток" Венери не лише підтверджує захисну здатність провідних екосистем для проектів, але й підкреслює загальну крихкість системи безпеки DeFi — коли безпека може покладатися лише на "гігантську підтримку", а не на власний контроль ризиків і механізми гарантій протоколу, справжня безпека DeFi ще має пройти довгий шлях.