Децентралізований кредитний протокол Venus Protocol на блокчейні BNB Chain зазнав атаки, пов'язаної з перевищенням ліміту пропозиції токена THE проекту Thena. В результаті платформа призупинила роботу кількох ринків. Попередні збитки оцінюються більш ніж у $2 млн, повідомили представники проекту.
Через високу концентрацію ліквідності також було зупинено роботу ринків для токенів BCH, LTC, UNI, AAVE, FIL та TWT. Інші ринки Venus продовжують функціонувати у звичайному режимі, уточнили розробники.
За даними фахівців із безпеки, зловмисник готував атаку кілька місяців. З червня 2025 року невідомий поступово накопичував токени THE і зрештою зосередив у себе близько 84% від ліміту пропозиції – 14,5 млн токенів.
Замість стандартного механізму депозиту хакер відправляв токени безпосередньо в протокол, оминаючи стандартні перевірки. Це дозволило йому значно перевищити встановлений ліміт. У результаті на його адресі виявилося 53,2 млн. THE — приблизно в 3,5 рази більше за допустимий обсяг.
У день атаки, в неділю, до протоколу було внесено 12,2 млн. THE, що відповідало приблизно 84% встановленого ліміту. За півтори години, безпосередньо перед ліквідацією позиції, обсяг сягнув 53,2 млн токенів — близько 367% від ліміту.
Нагромадивши велику заставу, зловмисник скористався низькою ліквідністю ринку та багаторазово повторив один і той же цикл операцій. Спочатку він вносив токени THE, потім займав інші активи, купував додаткові THE, чекав на оновлення даних оракула і повторював операцію.
В результаті ціна THE зросла з $0,27 до $0,53. Номінальний обсяг забезпечення угоди сягав приблизно $30 млн, проте ліквідності для продажу такого обсягу не було. Після примусової ліквідації ціна токена впала до $0,24.
На піку атаки в розпорядженні зловмисника знаходилися 6,67 млн. CAKE, 2801 BNB, 1970 WBNB, 1,58 млн. USDC і 20 BTCB.
За оцінкою ончейн-аналітика Вейліня Лі (Weilin Li), через подальше падіння ціни токена зловмисник, ймовірно, майже не отримав прибутку і міг навіть зазнати збитків усередині протоколу. Експерт припустив, що атакуючий міг хеджувати позицію через безстрокові ф'ючерси на сторонніх майданчиках та заробити на цих угодах.
Кілька днів тому інший зловмисник вивів понад $4 млн із ігрової блокчейн-платформи, проте втратив майже всі кошти через невдалу торгівлю ефіром.