#VenusProtocolSuspectedFlashLoanAttack

Экосистема децентрализованных финансов недавно была потрясена, когда Venus Protocol, крупный протокол кредитования и заимствования в сети BNB Chain, подвергся предполагаемой атаке с использованием флеш-кредитов, как называют это данные on-chain и аналитики безопасности. Это привело к существенным потерям и вызвало рыночные волнения на рынках его токенов. Инцидент, впервые обнаруженный 15 марта 2026 года, вызвал широкую озабоченность среди пользователей DeFi и исследователей безопасности, подчеркивая постоянные уязвимости, с которыми сталкиваются децентрализованные системы кредитования, когда опытные злоумышленники используют динамику залогов и ликвидности в рамках одной блокчейн-транзакции.

Согласно анализу блокчейна, злоумышленник нацелился на Core Pool протокола Venus, манипулируя лимитом предложения низколиквидного токена Thena (THE) для заимствования других активов против искусственно завышенного залога. В целом, эксплуатация, по оценкам, извлекла более 3,7 миллиона долларов США цифровых активов из протокола. Скомпрометированный кошелек заимствовал примерно 20 wrapped Bitcoin (BTCB), 1,5 миллиона токенов CAKE, около 200 BNB и другие активы против своей завышенной позиции залога.

Атаки с использованием флеш-кредитов используют уникальный примитив DeFi, при котором злоумышленники могут заимствовать очень большие объемы активов без предварительного залога при условии, что заимствованная сумма будет возмещена в пределах одного блока блокчейна. В этом случае злоумышленник смог заимствовать большой объем токенов THE в течение нескольких месяцев, накопив примерно 84 процента лимита предложения протокола для THE (около 14,5 миллиона токенов) перед инициированием эксплуатации. Минуя стандартный процесс депозита и напрямую передавая токены в контракт протокола, злоумышленник обошел встроенные ограничения и создал позицию залога, превышающую предполагаемый лимит предложения протокола в три раза. Эта искусственная позиция затем послужила основой для заимствования и извлечения высокостоимостных активов из пула кредитования.

Метод, использованный в этой атаке, объединял элементы как флеш-кредита, так и стратегии манипулирования ценами. После того как завышенный залог был установлен, злоумышленник повторно заимствовал активы и в некоторых случаях переинвестировал в THE, чтобы вызвать обновления цены оракула, которые еще больше завысили стоимость залога. Это позволило получить еще большую способность к заимствованию в пределах окна одной транзакции. Такие стратегии используют пробелы между каналами цен оракула on-chain и фактическими условиями рынка – известный риск в смарт-контрактах DeFi, которые полагаются на механизмы ценообразования с взвешенной по времени средней цены (TWAP) или децентрализованного обмена.

Влияние эксплуатации было немедленно видно на рынках. Цена токена THENA (THE) испытала экстремальную волатильность, поднимаясь с уровней примерно 0,21 доллара до максимумов выше 0,60 доллара, прежде чем обвалиться вниз, когда произошли массовые события ликвидации. Объемы торговли значительно возросли на децентрализованных биржах, поскольку участники рынка реагировали на каскад ликвидации, вызванный эксплуатацией и последующими распродажами активов.

В ответ на предполагаемую атаку с использованием флеш-кредитов, протокол Venus быстро принял превентивные меры, направленные на сдерживание рисков и предотвращение дальнейшего извлечения активов. Команда протокола приостановила заимствование и снятие средств для токена THE, фактически заморозив затронутые сегменты рынка, пока продолжается расследование. Некоторые отчеты также предполагают, что Venus временно ограничил или отрегулировал коэффициенты залога для других рынков, воспринимаемых как высокорисковые, чтобы предотвратить дополнительные пути эксплуатации.

Исследователи безопасности и наблюдатели сообщества отметили, что этот инцидент имеет более широкие последствия для безопасности DeFi. Атаки с использованием флеш-кредитов, особенно те, которые манипулируют залогами и лимитами предложения, выявляют постоянные уязвимости в протоколах смарт-контрактов, которые не полностью применяют лимиты предложения или полагаются на отложенные ценовые оракулы. Хотя сами флеш-кредиты являются нейтральными примитивами DeFi, предназначенными для обеспечения ликвидности и возможностей арбитража, злоумышленники могут вооружать их, когда защита протокола недостаточно надежна.

Предполагаемая атака с использованием флеш-кредитов на Venus Protocol служит суровым напоминанием о рисках, присущих платформам децентрализованного кредитования. В отличие от централизованных финансов, где контроль рисков и мониторинг часто включают человеческий надзор и нормативное соответствие, протоколы DeFi зависят от автоматизированных смарт-контрактов для применения правил. Если злоумышленник может выявить и использовать логическую ошибку или расхождение оракула, результирующий ущерб может быть быстрым и финансово значительным. Это событие вызвало возобновленные дебаты в сообществе DeFi об эффективности существующих систем оракулов, правил залога и автоматизированных стратегий снижения рисков.

Для пользователей протокола Venus и аналогичных платформ DeFi, инцидент подчеркивает важность управления рисками, тщательной оценки ликвидности токенов перед их использованием в качестве залога и бдительности в отношении текущих разработок в области безопасности. По мере развития экосистемы инвесторы и разработчики могут потребовать повышенных стандартов аудита, более устойчивых решений оракулов и улучшенного дизайна контрактов для предотвращения подобных эксплуатаций в будущем.

В резюме, #VenusProtocolSuspectedFlashLoanAttack относится к сложной эксплуатации рынков кредитования Venus Protocol в сети BNB Chain, которая привела к потерям более 3,7 миллиона долларов, значительной волатильности токенов и быстрому ответу протокола, включающему приостановку рынков и активное расследование. Атака использовала комбинацию манипулирования лимитом предложения и механики флеш-кредитов, иллюстрируя постоянные проблемы безопасности DeFi в быстро растущем, но еще зреющем финансовом ландшафте.