Ограбление Venus Protocol на 3,7 млн долларов: как девятимесячный заговор использовал известную уязвимость в BNB Chain

Аудит безопасности указал на конкретный вектор атаки еще несколько месяцев назад. Команда отклонила это замечание. В воскресенье злоумышленник скрылся с 3,7 млн $.

Venus Protocol, доминирующая лендинговая платформа на BNB Chain с общей заблокированной стоимостью (TVL) около 1,47 млрд $, пострадала от разрушительного эксплойта с манипуляцией ценой 15 марта 2026 года. Злоумышленник нацелился на THE — нативный токен децентрализованной биржи Thena — подняв его цену с 0,27$ до почти 5 $с помощью тщательно спланированного цикла депозитов, займов и покупок. Результат: более 3,7 млн$ было выведено в BTC, CAKE, USDC и BNB, при этом примерно 2,15 млн $ остались в виде невозвратного «плохого» долга.

Что делает эту атаку примечательной, так это не только ее масштаб, но и стоящее за ней терпение — а также тот факт, что уязвимость была на виду у всех.

Девять месяцев подготовки

Большинство DeFi-эксплойтов происходят за считанные минуты. Этот начался в июне 2025 года.

Ончейн-анализ показывает, что злоумышленник провел девять месяцев, незаметно накапливая токены THE, создав позицию, равную 84 % от лимита предложения Venus в 14,5 млн THE. Первоначальное финансирование — 7 400 ETH — поступило через Tornado Cash, подсанкционный криптомиксер, что сделало личность атакующего практически не отслеживаемой.

Медленное накопление преследовало двойную цель. Во-первых, это позволило избежать срабатывания сигналов ликвидности или резких движений цены, которые могли бы насторожить систему мониторинга рисков Venus. Во-вторых, это дало злоумышленнику огромный резерв для развертывания в нужный момент.

К моменту начала атаки злоумышленник контролировал доминирующую долю доступного предложения THE, подготавливая почву для классической манипуляции оракулом.

Атака: цикл разрушения из четырех шагов

Эксплойт следовал точной последовательности, которая развернулась за считанные минуты в воскресенье:

Шаг 1: Обход лимита предложения. У Venus был лимит (supply cap), ограничивающий депозиты THE. Злоумышленник обошел его, напрямую переведя токены THE на смарт-контракт vTHE — внутреннее представление депонированных THE в Venus — вместо того, чтобы использовать обычную функцию депозита. Эта «атака пожертвованием» (donation attack) завысила обменный курс, признаваемый протоколом, что позволило злоумышленнику сформировать позицию в 53,2 млн THE — более чем в 3,5 раза превышающую установленный лимит.

Шаг 2: Раздувание цены THE. Из-за низкой ончейн-ликвидности THE относительно скромное давление со стороны покупателей привело к взлету цены с 0,27 $до почти 5$ — 18-кратный рост. Злоумышленник внес THE в качестве залога, занял под него другие активы, использовал эти заемные активы для покупки еще большего количества THE и повторял этот цикл по мере того, как оракул средневзвешенной по времени цены Venus обновлялся, отражая манипулируемый рынок.

Шаг 3: Вывод ценных активов. С искусственно завышенным залогом в THE злоумышленник занял реальные ликвидные активы: 20 BTC, 1,516 млн CAKE, 1,58 млн USDC и 2 801 BNB — превращая манипулируемую «бумажную» стоимость в твердые активы на нескольких рынках.

Шаг 4: Выход. Как только процесс заимствования был завершен, цена THE рухнула обратно к своей истинной стоимости, оставив Venus с сильно переоцененным залогом против реальных долгов. Протокол остался с «плохим» долгом в размере около 2,15 млн $ — 1,18 млн CAKE и 1,84 млн токенов THE, которые больше не обеспечены должным образом.

Проигнорированный аудит

Возможно, самая вопиющая деталь: именно этот вектор атаки был отмечен в ходе аудита безопасности Venus, проведенного Code4rena. Аудиторы определили «атаку пожертвованием» как известную уязвимость в лендинговых протоколах, являющихся форками Compound — категории, к которой относится и Venus.

Команда Venus оспорила этот вывод, утверждая, что прямые пожертвования токенов являются «поддерживаемым поведением без негативных побочных эффектов».

Они ошибались.

Механизм пожертвований позволил злоумышленнику полностью обойти лимиты предложения, что стало ключевым фактором всего эксплойта. Без этого обхода злоумышленник никогда не смог бы создать достаточно большую позицию для эффективной манипуляции ценой THE. Известная, задокументированная уязвимость, отклоненная как несущественная проблема, стала точкой входа для многомиллионной кражи.

Это ставит неудобные вопросы перед каждым DeFi-протоколом, работающим на форкнутом коде: сколько еще спорных выводов аудита являются бомбами замедленного действия?

Реакция Venus и влияние на рынок

Venus предприняла быстрые шаги после обнаружения эксплойта:

• Немедленная приостановка займов и выводов для THE, а также нескольких других рынков с высокой концентрацией ликвидности, включая BCH, LTC, UNI, AAVE, FIL и TWT.
• Ужесточение правил обеспечения на всей платформе.
• Запуск расследования с планами по пересмотру механизмов оракулов для предотвращения подобных атак.
• Цена токена THE упала примерно на 17 % после эксплойта, что повлияло на более широкую экосистему Thena.

Инцидент произошел в особенно чувствительное для Venus время. Протокол только что запустил Venus Flux в феврале 2026 года — интегрированный уровень ликвидности, направленный на консолидацию кредитования, заимствования, торговли и стратегий с использованием кредитного плеча на BNB Chain. Эксплойт на 3,7 млн $ подрывает репутацию и доверие, которые должен был сформировать запуск нового продукта.

Повторяющаяся проблема оракулов в DeFi

Эксплойт Venus — далеко не единичный случай. Согласно данным PeckShield, в первом квартале 2026 года убытки от крипто-хакерских атак только за январь и февраль уже составили $112,5 млн. За весь 2025 год была похищена ошеломляющая сумма в $3,4 млрд, при этом значительная доля пришлась на манипулирование оракулами и атаки с использованием мгновенных займов.

Фундаментальная проблема остается неизменной: протоколы кредитования DeFi нуждаются в точных ценовых данных для работы, но ончейн-ценовые потоки для токенов с низкой ликвидностью могут быть изменены любым пользователем с достаточным капиталом. Мгновенные займы (flash loans) усугубляют эту проблему, предоставляя злоумышленникам доступ к огромному временному капиталу с нулевыми затратами.

Паттерн удручающе знаком:

• Низколиквидный токен используется в качестве залога — торговый объем THE был незначительным по сравнению с лимитами предложения Venus.
• Зависимость оракула от манипулируемых данных — взвешенные по времени средние цены (TWAP) все еще отстают от быстрых манипуляций ценами.
• Обход лимита предложения (supply cap) — вектор атаки через пожертвования (donation attack) сделал механизмы контроля рисков Venus неэффективными.
• Заимствованные активы ликвидны и стабильны — BTC, BNB, CAKE и USDC легко перемещаются и сохраняют свою стоимость.

Этот же паттерн проявился в эксплойте Makina DeFi на $5 млн в начале марта 2026 года, где также использовалось манипулирование оракулами AMM. В индустрии обсуждаются стандарты «Flash Loan 2.0» с интегрированной защитой оракулов и защитой от повторного входа (reentrancy guards), но их внедрение остается неравномерным.

Уроки для разработчиков и пользователей

Атака на Venus подтверждает несколько критически важных принципов для всех, кто создает или использует протоколы DeFi:

Относитесь к результатам аудита серьезно. Когда профессиональные аудиторы указывают на уязвимость — даже если она кажется теоретической — стоимость устранения последствий почти всегда меньше, чем стоимость эксплойта. Игнорирование Venus выводов Code4rena об атаке через пожертвования — это поучительная история, которую будут изучать годами.

Лимиты предложения сильны лишь настолько, насколько эффективно их соблюдение. Если токены могут обходить лимиты через прямые переводы на контракт, то такие лимиты — это просто декорация. Протоколы должны проверять общее предложение на уровне контракта, а не только через функции депозита.

Низколиквидный залог — это залог с высоким риском. Листинг токенов с небольшим объемом торгов в качестве залога создает поверхность атаки, пропорциональную разрыву между ликвидностью токена и кредитоспособностью протокола. Протоколам нужны динамические параметры риска, реагирующие на условия ликвидности в реальном времени.

Взвешенные по времени оракулы недостаточны для неликвидных активов. Оракулы TWAP предполагают, что длительное манипулирование ценой обходится дорого. Для токенов с низкой ликвидностью стоимость устойчивого манипулирования может быть ничтожно мала по сравнению с потенциальной прибылью от эксплойта.

Девять месяцев терпения должны насторожить каждого. Готовность злоумышленника потратить девять месяцев на накопление токенов указывает на уровень сложности и планирования, который большинство команд протоколов не учитывают в своих моделях угроз. Безопасность DeFi должна учитывать стратегии атак с длительным горизонтом планирования, а не только мгновенные транзакционные эксплойты.

Что дальше

Ближайшая задача Venus Protocol — оправиться от «плохого долга» в размере $2,15 млн и восстановить доверие к своей системе управления рисками. Перед более широкой экосистемой DeFi стоит более сложный вопрос: как проводить листинг различных типов залога, не создавая поверхностей для манипулирования оракулами.

Несколько подходов набирают популярность:

• Внешние ценовые потоки Chainlink и Pyth, которые агрегируют данные из нескольких источников и которыми труднее манипулировать.
• Автоматические выключатели (circuit breakers), которые приостанавливают работу рынков, когда цены отклоняются за пределы ожидаемых диапазонов в течение коротких промежутков времени.
• Строгие лимиты предложения, привязанные к ликвидности, которые связывают лимиты залога с ончейн-ликвидностью в реальном времени, а не со статичными порогами.
• Формальная верификация соблюдения лимитов предложения, гарантирующая, что никакой путь кода — включая прямые переводы — не сможет обойти ограничения протокола.

Эксплойт Venus напоминает о том, что компонуемость DeFi — это палка о двух концах. Та же открытость, которая обеспечивает инновации без разрешений, позволяет и эксплуатацию без разрешений. Чтобы экосистема созрела, протоколы должны рассматривать результаты аудита безопасности как задачи к исполнению, а не как рекомендации — и они должны проектировать свою защиту в расчете на злоумышленников, которые мыслят месяцами, а не миллисекундами.

---

Строите на BNB Chain или других блокчейн-сетях? BlockEden.xyz предоставляет RPC-узлы корпоративного уровня и блокчейн-инфраструктуру, разработанную с упором на надежность и безопасность. Изучите наш маркетплейс API, чтобы строить на фундаменте, которому можно доверять.