#VenusProtocolSuspectedFlashLoanAttack

Екосистема децентралізованих фінансів була виснажена нещодавно, коли Venus Protocol, основний протокол кредитування та позичання в мережі BNB Chain, був атакований тим, що дані on-chain та експерти з безпеки називають підозрюваною flash-loan атакою, яка призвела до значних втрат і спричинила коливання ринку на його ринках токенів. Інцидент, вперше виявлений 15 березня 2026 року, викликав широке занепокоєння серед користувачів DeFi та дослідників безпеки, підкреслюючи постійні вразливості, з якими стикаються децентралізовані системи кредитування, коли підкуті зловмисники експлуатують динаміку забезпечення та ліквідності в одній транзакції блокчейну.

Згідно з блокчейн-аналітикою, зловмисник прямував на Core Pool протоколу Venus Protocol, маніпулюючи ліміту пропозиції на токені низької ліквідності Thena (THE), щоб позичити інші активи під штучно завищене забезпечення. Загалом, експлуатація оцінюється як витяг понад $3,7 мільйона цифрових активів з протоколу. Експлуатована гаманець позичила приблизно 20 обернутого Біткойну (BTCB), 1,5 мільйона токенів CAKE, приблизно 200 BNB та інші активи під її завищену позицію забезпечення.

Flash-loan атаки використовують унікальний DeFi примітив, у якому зловмисники можуть позичати дуже великі суми активів без передоплави забезпечення, за умови, що позичена сума переводиться в межах одного блокчейн-блока. У цьому випадку зловмисник змогли позичити великий обсяг токенів THE протягом кількох місяців, накопичивши приблизно 84 Percenta ліміту пропозиції протоколу для THE (близько 14,5 мільйона токенів) перед ініціюванням експлуатації. Обминувши стандартний процес депозиту та передавши токени безпосередньо на контракт протоколу, зловмисник обійшов вбудовані ліміти та створив позицію забезпечення більше ніж в три рази вищу за передбачений ліміт пропозиції протоколу. Ця штучна позиція потім служила основою для позичання та осушування активів високої вартості з пулу кредитування.

Метод, використаний в цій атаці, поєднував елементи як flash-loan, так і стратегії маніпуляції цінами. Як тільки було встановлено завищене забезпечення, зловмисник повторно позичав активи і, у деяких випадках, реінвестував у THE, щоб спровокувати оновлення ціни оракула, які ще більше завищили вартість забезпечення. Це дозволило ще більшу пропускну здатність позичання в межах одного вікна транзакції. Такі стратегії експлуатують розриви між on-chain джерелами ціни оракула та реальними умовами ринку — відомий ризик у смарт-контрактах DeFi, які покладаються на механізми часово-зважених середніх цін (TWAP) або ціни децентралізованої біржі.

Вплив експлуатації був одразу помітний на ринках. Ціна токену THENA (THE) відчула екстремальну волатильність, стрибнувши з рівнів близько $0,21 до максимумів вище $0,60 перед крахом вниз в результаті великомасштабних подій ліквідації. Обсяги торгівлі значно зросли на децентралізованих біржах, оскільки учасники ринку реагували на каскад ліквідацій, спровокований експлуатацією та подальшими розпродажами активів.

У відповідь на підозрювану flash-loan атаку, команда протоколу Venus Protocol швидко вжила превентивних заходів, спрямованих на обмеження ризику та запобігання подальшому осушенню активів. Команда протоколу призупинила позичання та зняття средств для токену THE, фактично заморозивши постраждалі сегменти ринку, поки розслідування продовжується. Деякі звіти також припускають, що Venus тимчасово обмежув або коригував чинники забезпечення для інших ринків, сприйнятих як високо ризиковані, щоб запобігти додатковим шляхам експлуатації.

Дослідники безпеки та спостерігачі спільноти відзначили, що цей інцидент має більш широкі наслідки для безпеки DeFi. Flash-loan експлуатації, особливо ті, які маніпулюють забезпеченням та ліміту пропозиції, виявляють постійні вразливості в протоколах смарт-контрактів, які повністю не забезпечують ліміти пропозиції або які покладаються на затримані цінові оракули. Хоча самі flash loans є нейтральним DeFi примітивом, розробленим для забезпечення ліквідності та можливостей арбітражу, зловмисники можуть озброїти їх, коли запобіжні устрої протоколу недостатньо надійні.

Підозрювана flash-loan атака на протокол Venus Protocol служить гострою нагадуванням про ризики, притаманні децентралізованим платформам кредитування. На відміну від централізованих фінансів, де контроль ризиків і моніторинг часто включають людський нагляд та відповідність нормативно-правовим актам, протоколи DeFi залежать від автоматизованих смарт-контрактів для забезпечення виконання правил. Якщо зловмисник може виявити та експлуатувати логічну помилку або розбіжність оракула, результуючий збиток може бути швидким і фінансово значущим. Цей момент спровокував відновлену дебату в межах спільноти DeFi щодо ефективності існуючих систем оракула, правил забезпечення та автоматизованих стратегій зниження ризику.

Для користувачів протоколу Venus Protocol та подібних платформ DeFi інцидент підкреслює важливість управління ризиками, ретельної оцінки ліквідності токенів перед їх використанням як забезпечення та пильності щодо поточних розвитків безпеки. З еволюцією екосистеми, інвестори та розробники спільно можуть сприяти посиленим стандартам аудиту, більш стійким рішенням оракула та вдосконаленому дизайну контрактів для запобігання схожим експлуатаціям в майбутньому.

На закінчення, #VenusProtocolSuspectedFlashLoanAttack посилається на складну експлуатацію на ринках кредитування BNB Chain протоколу Venus Protocol, яка призвела до понад $3,7 мільйонів втрат, значної волатильності токенів та швидкої реакції протоколу, що включає призупинені ринки та активне розслідування. Атака використовувала комбінацію маніпуляції ліміту пропозиції та механіки flash-loan, ілюструючи поточні виклики безпеки DeFi в швидко зростаючому, але все ще незрілому фінансовому ландшафті.