Venus Protocol : L'événement THE est dû à une vulnérabilité de plafond d'approvisionnement, et non à une attaque par prêt flash

ChainCatcher a publié une déclaration concernant l’incident sur le marché de THE, précisant qu’il ne s’agit pas d’une attaque par prêt flash, mais d’une exploitation de vulnérabilité dans le code ancien du protocole permettant de contourner la limite d’offre. L’équipe a indiqué que l’attaquant avait accumulé en continu des tokens THE sur une période d’environ 9 mois, établissant progressivement une position dominante en termes d’offre sur Venus.

L’annonce précise que l’attaquant a contourné la limite d’offre de 14,5 millions de THE en transférant directement des tokens THE dans le contrat du protocole, évitant ainsi le processus normal de dépôt, et a exploité la faible liquidité en chaîne pour manipuler le prix sur les DEX. Lorsque le prix externe a été progressivement reflété par l’oracle TWAP, l’attaquant a emprunté des actifs (comme CAKE, BNB, etc.) en utilisant une valeur de collatéral gonflée, a racheté davantage de THE pour faire monter le prix, et a continué à transférer THE sur le marché vTHE pour augmenter la valeur de collatéral. Ce cycle a temporairement fait passer le prix d’environ 0,27 USD à environ 0,53 USD, laissant finalement une créance irrécouvrable dans le protocole après la liquidation des positions.

Venus a indiqué que le marché de THE a été suspendu, que le facteur de collatéral a été réduit à 0, et que les retraits ont été arrêtés. Par mesure préventive, le facteur de collatéral de 8 autres marchés — BCH, LTC, AAVE, POL, FIL, TWT, UNI et lisUSD — a également été abaissé à 0. L’équipe et ses partenaires en sécurité poursuivent leur enquête et publieront prochainement un rapport complet d’analyse post-incident.