Venus Protocol, крупнейший рынок кредитования на BNB Chain, 15 марта 2026 года пострадал от взлома на сумму 3,7 миллиона долларов после того, как злоумышленник манипулировал ценой токена THE с низкой ликвидностью через девятимесячную атаку с ограничением поставки.
Инцидент, в результате которого протокол понес убытки примерно на 2,15 миллиона долларов в виде плохого долга, побудил Venus снизить показатели залога до нуля на семи дополнительных рынках в целях предотвращения концентрационного риска.
Злоумышленник, получивший 7400 ETH от крипто-микшера Tornado Cash, использовал низкую ликвидность THE на Venus для раздувания её цены с 0,27 до почти 5 долларов, после чего ликвидация вызвала падение до 0,24 доллара.
## Методология атаки: накопление за девять месяцев и манипуляции оракулом
Исследователи безопасности и риск-менеджер Venus, Allez Labs, подробно описали сложный механизм атаки, который обошёл меры безопасности протокола с помощью многоэтапной стратегии.
### Этап «Медленного и постепенного» накопления
Начиная с июня 2025 года, злоумышленник постепенно накапливал токены THE через обычные каналы депонирования в течение примерно девяти месяцев. Эта стратегия позволила им накопить 84% лимита поставки — около 12,2 миллиона THE — без срабатывания стандартных систем предупреждения о рисках.
### Обход лимита поставки через прямой перевод
15 марта злоумышленник осуществил взлом, переведя токены THE напрямую в контракт vTHE вместо депонирования через стандартный процесс выпуска. Этот «атака-донат» — известная уязвимость в протоколах, ответвленных от Compound — мгновенно увеличила признанный объем поставки до 3,67 раза превышающего лимит, создав огромную залоговую базу.
### Рекурсивная манипуляция ценой
Обеспечив крупную залоговую позицию, злоумышленник использовал крайне низкую ликвидность THE в on-chain и задержки TWAP-оракула (Time-Weighted Average Price). Он запустил рекурсивный цикл:
- депонирование завышенного залога THE
- заимствование других активов (включая BTCB, CAKE и BNB)
- использование заимствованных средств для покупки большего количества THE на блокчейне
- ожидание обновления TWAP-оракула для отражения манипулированных более высоких цен
Злоумышленник успешно занял около 6,67 миллиона CAKE, 2801 BNB, 1,58 миллиона USDC и 20 BTCB, прежде чем сработали механизмы ликвидации.
## Аварийные меры по управлению рисками: заморозка залога на семи рынках
В ответ на взлом и для предотвращения системного риска протокол Venus внедрил экстренные изменения параметров, нацеленные на рынки с высокой концентрацией залога.
### Пострадавшие рынки и меры предосторожности
Venus снизил фактор залога (CF) до нуля на семи рынках, признанных уязвимыми из-за превышения 60% концентрации залога одним пользователем:
| Рынок | Меры предприняты | Обоснование |
|---------|------------------|--------------|
| BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD | Фактор залога снижен до 0 | Высокий риск концентрации; один пользователь владеет чрезмерной долей залога |
Все остальные рынки Venus продолжают функционировать в обычном режиме и не затронуты мерами предосторожности.
### Критерии уязвимости рынка
Меры касались рынков с характеристиками:
- рыночная капитализация менее 2 миллиардов долларов
- ежедневный объем торгов менее 100 миллионов долларов
- общий заблокированный объем (TVL) на DEX менее 40 миллионов долларов
- концентрация залога одного пользователя выше 60%
## Влияние инцидента и контекст протокола
Этот взлом добавил к истории проблем безопасности Venus Protocol, которая с 2021 года сталкивалась с накоплением плохого долга из-за предыдущих инцидентов.
### Исторический накопленный плохой долг
- Манипуляция XVS в 2021 году: более 95 миллионов долларов в плохом долге из-за ценовой манипуляции токеном XVS
- Крах Terra/LUNA в 2022 году: 14 миллионов долларов в плохом долге
- Хак моста BNB Chain в 2022 году: украдено BNB, использованные для заимствования 150 миллионов долларов в стейблкоинах
- Атака донат в феврале 2025 года: 700 000 долларов в плохом долге на развертывании Venus на ZKSync по аналогичной механике
Общий заблокированный объем (TVL) протокола снизился с пика в 7 миллиардов долларов до примерно 1,47 миллиарда после этих инцидентов.
THENA подтвердил, что его смарт-контракты не были взломаны, и средства пользователей на платформе остаются в безопасности.
## Текущие расследования и планы по отчетности
Venus Protocol заявил о своей приверженности прозрачности и пообещал опубликовать полный отчет после завершения расследования.
Allez Labs, партнер по управлению рисками Venus, продолжает анализировать вектор атаки и уже поделился предварительными выводами, описывающими четырехэтапный процесс эксплуатации.
## Часто задаваемые вопросы
### Что такое «атака с ограничением поставки» в DeFi-кредитовании?
Атака с ограничением поставки обходит механизм безопасности протокола, который ограничивает максимальное количество одного актива, используемого в качестве залога. В этом случае злоумышленник обошел лимит поставки Venus, переведя токены THE напрямую в контракт протокола вместо стандартного депонирования. Это позволило создать залоговую позицию в 3,67 раза превышающую лимит, которая затем использовалась для заимствования чрезмерных активов после манипуляции ценовым оракулом.
### Какие активы были украдены в результате взлома Venus Protocol?
Злоумышленник занял примерно 5,07 миллиона долларов активов, используя завышенный залог THE. В их числе — 2172 BNB, 1,516 миллиона CAKE и 20 BTCB. Однако в результате ликвидационных процедур протокол остался с примерно 2,15 миллиона долларов плохого долга, включающего около 1,18 миллиона CAKE и 1,84 миллиона THE, которые не были возвращены.
### Как протокол Venus отреагировал на взлом?
Venus Protocol немедленно принял экстренные меры, приостановив все заимствования и выводы токенов THE. В качестве более широких мер профилактики системного риска протокол снизил показатели залога до нуля на семи дополнительных рынках: Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL), Trust Wallet Token (TWT) и lisUSD. Все остальные рынки продолжают работу в обычном режиме.
