15 березня 2026 року Venus Protocol, найбільша платформа кредитування на BNB Chain, стала жертвою ретельно спланованої атаки з маніпуляцією ціною. Зловмисник скористався низькою ліквідністю токена THE екосистеми THENA та затримкою механізму оновлення оракула Venus, створивши протягом кількох годин фіктивне забезпечення на понад $37 мільйонів і зрештою залишивши протокол із близько $2,15 мільйонами проблемної заборгованості. Це була не імпульсивна атака, а завершення дев’ятимісячної прихованої підготовки та раптового удару.
Станом на 16 березня 2026 року нативний токен Venus XVS price коштував $3,12, що на 5,04% більше за 24 години. Ринковий настрій був "bullish" (оптимістичний), а капіталізація становила $52,36 мільйона. Проте така поверхнева стабільність ціни приховувала структурний шок для основного протоколу. У цій статті відтворено логіку атаки — розглянуто хронологію подій, аналіз даних, ринковий настрій і вплив на галузь, а також проаналізовано важливі попередження для моделей управління ризиками DeFi.
Огляд події: Рекурсивна експлуатація оракула
Увечері 15 березня (UTC+8) Core Pool Venus Protocol на BNB Chain зазнав аномальної активності. Адреса з Tornado Cash здійснила складну серію транзакцій, піднявши ціну токена THE у протоколі з приблизно $0,27 до майже $5 за короткий час. Використовуючи завищену ціну як забезпечення, зловмисник позичив великі обсяги BTC, BNB, CAKE та інших активів. Коли ціна швидко впала, позиції зловмисника були примусово ліквідовані. Однак падіння вартості забезпечення призвело до того, що ліквідації не покрили всі кредити, що спричинило близько $2,15 мільйона чистої проблемної заборгованості для Venus.
Менеджер ризиків Venus, Allez Labs, негайно втрутився і вже вранці 16 березня опублікував попередній аналіз. Як екстрений захід Venus не лише призупинив кредитування та виведення для ринків THE, а й встановив нульовий коефіцієнт забезпечення для семи інших ринків — BCH, LTC, UNI, AAVE, FIL, TWT та lisUSD — щоб запобігти повторенню ризику "концентрації забезпечення одним користувачем" в інших активах.
Передумови та хронологія: Від повільного накопичення до раптового вибуху
Атака розгорталася не миттєво, а у чотири чіткі фази протягом дев’яти місяців.
Фаза 1: Накопичення (червень 2025 – березень 2026)
З червня 2025 року зловмисник поступово вносив токени THE у Venus невеликими розрізненими партіями. Такий "ефект вареної жаби" дозволив уникнути стандартних контролів ризику. До дня атаки адреса контролювала 84% ліміту постачання THE на Venus — близько 14,5 мільйона THE.
Фаза 2: Підготовка фінансування (15 березня)
Перед початком атаки адреса 0x7a7…234 отримала 7 400 ETH із Tornado Cash для операційних витрат. Далі ця адреса використала ETH як забезпечення на Aave, позичивши близько $9,92 мільйона у стейблкоїнах (USDT, DAI, USDC). Ці кошти були розподілені між кількома гаманцями та використані для накопичення токенів THE у ланцюгу, підготувавши "боєзапас" для майбутнього розгону ціни.
Фаза 3: Виконання атаки (близько 20:00, 15 березня)
Використовуючи два гаманці, зловмисник вніс великі обсяги THE у Venus. Важливо: щоб обійти ліміт постачання Venus, зловмисник не використовував стандартний процес мінтингу, а натомість перевів токени THE безпосередньо на адресу контракту vTHE. Такий "donation attack" (атака через пожертвування) штучно підвищив внутрішній обмінний курс, створивши велике забезпечення всередині протоколу.
Далі зловмисник запустив рекурсивний цикл:
- Використав завищене забезпечення THE для позики BTCB, CAKE, BNB та інших активів.
- Використав позичені активи для купівлі ще більше THE у надзвичайно малоліквідних пулах, ще більше піднявши спотову ціну THE.
- Чекав оновлення оракула Venus TWAP (Time-Weighted Average Price), щоб завищена спотова ціна відобразилася як забезпечення на ланцюгу.
З кожним циклом вартість забезпечення THE у Venus зростала. На піку зловмисник використав близько 53,2 мільйона THE як забезпечення для позики 6,67 мільйона CAKE, 2 801 BNB, 1 970 WBNB, 1,58 мільйона USDC і 20 BTCB.
Фаза 4: Ліквідація та крах (близько 20:40, 15 березня)
Коли зловмисник припинив купівлю, з’явився природний тиск на продаж. Ціна THE обвалилася, фактор здоров’я позиції зловмисника на Venus швидко погіршився, і було запущено масові ліквідації. Але через виснаження ліквідності THE, самі ліквідації ще більше прискорили падіння ціни, спричинивши "death spiral" (спіраль смерті). Ціна впала до $0,24 — нижче за рівень до атаки. Після ліквідацій близько $2,15 мільйона кредитів (зокрема 1,18 мільйона CAKE і 1,84 мільйона THE) залишилися непогашеними, ставши проблемною заборгованістю протоколу Venus.
Дані та структурний аналіз: Модель атаки за цифрами
Для розуміння успіху атаки потрібно розглянути основні дані та використані механізми.
| Вимір аналізу | Ключові дані | Пояснення механізму |
|---|---|---|
| Ефективність капіталу | Початкові кошти: 7 400 ETH (~$9,92M стейблкоїнів) Позичені активи: ~$5,07M | На ланцюгу зловмисник нібито втратив гроші, але справжній прибуток, ймовірно, отримано через шорт-позиції на деривативах CEX. |
| Маніпуляція забезпеченням | Накопичено: 84% ліміту THE (~14,5M) Пік: 53,2M THE (3,67x ліміт) | Обхід ліміту через прямі трансфери до контракту був технічним ключем для посилення атаки. |
| Волатильність ціни | Стартова ціна: ~$0,27 Маніпульований пік: ~$0,53 (після оновлення оракула) Після краху: ~$0,24 | Зловмисник підняв ціну оракула лише на ~96%, але цього вистачило для залучення мільйонів активів. |
| Проблемна заборгованість | ~$2,15M | Хоча менше за історичний максимум Venus (наприклад, $95M у випадку XVS), це виявило сліпу зону контролю ризиків. |
Зловмисник обійшов обмеження на рівні коду через donation attack. Затримка оновлення TWAP оракула стала точкою важеля, а не захистом.
Аналіз ринкового настрою: Збитки на ланцюгу та прибутки поза ним
Після інциденту аналітики та спільнота загалом погодилися щодо природи атаки, але сперечалися про реальний прибуток і збитки зловмисника.
Основна думка: Класична маніпуляція ціною та атака на оракул
Декілька аналітиків, зокрема EmberCN і Weilin Li, відзначили, що це успішне повторення методу атаки на оракул, як у випадку Mango Markets у 2022 році. Зловмисник використав суперечність між низьколіквідними активами та частотою оновлення оракулів кредитних протоколів. Weilin Li зауважив, що згідно з аналізом на ланцюгу, зловмисник "майже не заробив" і навіть міг втратити кошти.
Дискусія: Справжня модель прибутку зловмисника
Виникло ключове питання: навіщо зловмисник доклав стільки зусиль — позичив лише $5,07 мільйона на ланцюгу після підготовки $9,92 мільйона капіталу?
Теорія збитків на ланцюгу: EmberCN у попередньому аналізі припустив, що зловмисник втратив кошти на ланцюгу, оскільки вартість позичених активів була нижча за витрати капіталу. Мотивом могла бути диверсія або технічний експеримент.
Теорія прибутку поза ланцюгом: Це наразі найбільш переконлива гіпотеза. Зловмисник, ймовірно, заздалегідь відкрив великі шорт-позиції на токени THE на централізованих біржах (CEX). Спровокувавши обвал ціни через дії на ланцюгу, шорт-позиції на CEX принесли значний прибуток, повністю компенсувавши "витрати" на ланцюгу та забезпечивши чистий дохід.
Справжній задум зловмисника — "використати дії на ланцюгу для отримання прибутку поза ним". Вразливості кредитних ринків на ланцюгу стали інструментом для заробітку на зовнішніх ринках. Така модель "cross-market arbitrage" (арбітраж між ринками) є загрозою для систем управління ризиками, які фокусуються лише на даних ланцюга.
Перевірка наративу: Офіційні пояснення та сумніви спільноти
Venus і менеджер ризиків Allez Labs оперативно надали аналіз, але деякі аспекти їхнього наративу потребують детальнішого розгляду.
Фактчек 1: Чи справді "donation attack" — нова вразливість?
У аналізі Venus зазначено, що зловмисник обійшов ліміт постачання через прямий трансфер токенів у контракт. Однак, згідно з оглядами безпекових спільнот, цей вектор "donation attack" вже згадувався у попередньому аудиті Code4rena для Venus. Тоді команда вважала це "підтримуваною поведінкою без негативних наслідків". Це свідчить, що вразливість була відома, але суб’єктивно проігнорована.
Фактчек 2: Чи встановлення нульового коефіцієнта забезпечення було превентивним чи реактивним?
Venus встановив нульовий коефіцієнт забезпечення для семи ринків, офіційно назвавши це превентивним заходом проти "надмірної концентрації забезпечення одним користувачем". Однак реакція ринку показує, що це радше екстрений карантин. Хоча ці ринки (наприклад, BCH, LTC, AAVE) мають достатню ліквідність самі по собі, розподіл забезпечення на Venus був дуже концентрованим, що робило їх легкими цілями для схожої маніпуляції. Захід був ефективним, але також виявив відставання протоколу в диверсифікації забезпечення.
Вплив на галузь: Переосмислення управління ризиками DeFi
Хоча інцидент стосувався лише Venus, його наслідки поширилися на весь сектор DeFi.
Переосмислення безпеки оракулів
TWAP-оракули раніше вважалися більш безпечними за спотові ціни, оскільки могли протистояти маніпуляціям через flash loan. Однак цей випадок показує, що коли зловмисники готові місяцями накопичувати позиції та використовувати "donation" для масштабування, затримка TWAP стає вікном можливості для атак із важелем. Безпека оракулів не може базуватися лише на усередненні за часом; потрібні перевірки глибини ліквідності та моніторинг ринку в реальному часі.
Вплив на моделі забезпечення
Ідея "будь-який актив може бути забезпеченням" отримала реалістичну перевірку. Активи з низькою ліквідністю та високою концентрацією, навіть із значною капіталізацією, схильні до маніпуляцій. Надалі кредитні протоколи суворіше оцінюватимуть "індекс маніпулятивності" забезпечення, враховуючи розподіл ліквідності на ланцюгу, концентрацію власників і загальну глибину ринку проєкту.
Управління під контролем
Ризики, чітко визначені в аудиторських звітах, були відкладені через суб’єктивне рішення команди, що призвело до втрат. Це нагадування: аудит коду — лише початок; постійна оцінка ризиків і врахування відомих векторів атак необхідні для безпеки протоколу. Те, що ціна Venus (XVS) зросла на 5,04% за 24 години після інциденту, може відображати схвалення ринком оперативної реакції Venus, але також приховувати нерозуміння довгострокових можливостей управління ризиками протоколу.
Аналіз сценаріїв: Можливі розвитку подій
Виходячи з поточних фактів і логіки, інцидент може розвиватися за трьома напрямками:
Сценарій 1: Короткострокова стабілізація
Venus вже ізолював ризикові ринки та пообіцяв повний постмортем-звіт. Якщо основні кредитні пули (BTC, ETH, BNB) залишаться неушкодженими, протокол зможе відновити довіру ринку у короткостроковій перспективі. Проблемна заборгованість може бути покрита резервами протоколу або через пропозиції управління, що дозволить уникнути системної кризи.
Сценарій 2: Середньострокове регулювання та аудит
Інцидент стане новим кейсом для регуляторів і аудиторських компаній. У майбутньому аудити DeFi-протоколів вимагатимуть тестування на вектори атак "довгострокове накопичення + обхід через donation". Співпраця між протоколами щодо безпеки посилиться, ймовірно буде створено механізми обміну інформацією.
Сценарій 3: Довгострокова парадигма атак
Якщо модель "збитки на ланцюгу, прибуток поза ним" виявиться життєздатною, такі атаки можуть стати новою нормою. Зловмисники більше не шукатимуть прямого прибутку з казни протоколу, а використовуватимуть вразливості як "перемикачі" для маніпуляції ціною, отримуючи надприбутки на ринках деривативів. Це ускладнить захист, оскільки дані ланцюга більше не будуть єдиним індикатором прибутковості атакуючих.
Висновок
Випробування Venus — ще одна глава у постійній еволюції безпеки DeFi. Це не перша і не остання атака на оракул. Від маніпуляції ціною XVS у 2021 році, через крах LUNA у 2022-му, і до нинішнього дев’ятимісячного полювання на токени THE, історія Venus — живий підручник з управління ризиками DeFi.
Справжня безпека полягає не у відсутності помилок, а у зміцненні захисту після кожного уроку. Коли зловмисники планують на роки й рахують прибутки між ринками, захисники також мають дивитися ширше за код і застосовувати більш комплексний, ігровий підхід до безпеки протоколу. Для користувачів розуміння простої істини "кожна дохідність має ризик" може бути важливішим, ніж погоня за наступною прибутковою фермою.
