Venus Protocol подверглась $THE атаке с использованием флеш-кредитов: истинный механизм работы.

Суть этого события — типичная атака, сочетающая флеш-кредиты и манипуляцию оракулом.
1. Основной инструмент: что такое флеш-кредит (Flash Loan)?
Флеш-кредит — это специальная функция заимствования, предоставляемая смарт-контрактами. Она позволяет пользователям занять огромные суммы без предоставления какого-либо залога.
Единственное условие: заимствование, использование средств и возврат основной суммы с процентами должны быть завершены в одной транзакции блокчейна, т. е. в одном блоке, обычно за несколько секунд.
Если по окончании транзакции средства не возвращены в полном объеме с процентами, смарт-контракт автоматически откатывает и отменяет эту транзакцию, и все выглядит так, как будто этого никогда не было.
Это позволило атакующему использовать десятки млн. долларов в риске-свободном режиме для мгновенного манипулирования рынком.
2. Разбор этапов атаки
Атакующий использовал этот механизм для совершения логически безупречного арбитражного цикла:
Первый этап: заимствование огромной суммы.
Атакующий через протокол флеш-кредита мгновенно занимает огромный объем средств — обычно стейблкойны или другие высоколиквидные активы.
Второй этап: массовое повышение спотовой цены манипулирование рынком.
Атакующий направляет эту огромную сумму прямо в пул ликвидности децентрализованной биржи, такой как PancakeSwap, и массово покупает THE.
Из-за резкого наплыва огромных объемов покупок спотовая цена $THE за долю секунды резко поднимается.
Третий этап: искажение цены оракула.
Протокол кредитования Venus полагается на оракулы для получения цен различных токенов на рынке.
Когда оракул считывает цену $THE с DEX, которая резко выросла, и передает эту информацию в Venus,
система Venus определяет, что стоимость $THE чрезвычайно высока.
Четвертый этап: ложный залог с высокой премией.
Атакующий спешит использовать завышенную системную цену, депонирует свой $THE в Venus в качестве залога.
Поскольку залоговое имущество система оценивает как «высокую стоимость»,
атакующий без труда заимствует у Venus реальные твердые валюты, такие как BTCB, CAKE и BNB.
Пятый этап: массовая продажа, возврат средств и уход с рынка.
По достижении цели атакующий спешит продать оставшийся THE на бирже, чтобы вернуть средства для погашения основной суммы и процентов флеш-кредита.
Поскольку весь процесс происходит в очень короткий промежуток времени, атакующий уходит с прибылью в виде заимствованных BTC и BNB.
3. Последствия атаки
После того как атакующий завершит продажу и покинет рынок, цена $THE мгновенно резко упадет, вернувшись к реальному уровню. Это вызвало цепную реакцию:
Безнадежные долги и убытки: в протоколе Venus остался залог, внесенный атакующим — теперь значительно обесценившийся $THE, в то время как высокостоимостные BTC и BNB уже заимствованы, что привело к потерям средств протокола.
Массовая ликвидация: с рухом цены $THE , позиции всех обычных пользователей в протоколе Venus, использовавших $THE в качестве залога,
увидели коэффициент здоровья, упавший ниже безопасного предела в доли секунды, что спровоцировало вынужденную автоматическую массовую ликвидацию в системе, создав безнадежные долги в размере 14 млн. долл.