Вход

Взлом Venus Protocol: атака на лимиты предложения и $2,15 млн проблемного долга

Децентрализованный протокол кредитования Venus Protocol на блокчейне BNB Chain столкнулся с изощрённой атакой 16 марта 2026 года, в результате которой возник проблемный долг на $2,15 млн и токен управления XVS обвалился на 9,3% за 24 часа. Инцидент стал очередным подтверждением уязвимости механизма лимитов предложения (supply cap) при недостаточной ликвидности базового актива и отсутствии многоуровневых проверок.

📊 Злоумышленник в течение девяти месяцев накопил контроль над 84% рыночной капитализации токена Thena (THE), финансировав операцию через 7 400 ETH из сервиса смешивания Tornado Cash. Обойдя стандартные ограничения через прямое взаимодействие с контрактом vTHE, он искусственно завысил цену актива в 3,8 раза.

🔍 Как развивалась атака: девять месяцев подготовки

Согласно данным протокола и анализу PeckShield, схема эксплойта включала четыре этапа:

  1. Накопление позиции: в течение ~9 месяцев злоумышленник постепенно скупал токены THE, используя средства из анонимизированных источников (7 400 ETH через Tornado Cash)
  2. Обход лимитов: вместо стандартного пополнения коллатерала через интерфейс, атакующий напрямую взаимодействовал с контрактом vTHE, минуя проверки на максимальный размер депозита
  3. Манипуляция ценой: концентрация THE позволила поднять его стоимость с $0,26 до $0,56 за счёт низкой ликвидности на вторичных рынках
  4. Ликвидация и вывод: после продажи накопленных токенов цена обрушилась на 17%, спровоцировав каскадные ликвидации позиций других пользователей

Общий объём выведенных средств оценивается в $3,7–5,8 млн, включая токенизированный биткоин, BNB и стейблкоины.

«Децентрализация — это не отсутствие правил. Это отсутствие централизованного исполнения. И именно в этом противоречии кроется главная уязвимость современных протоколов», — Виталик Бутерин, сооснователь Ethereum.

🛡️ Реакция протокола: приостановка и изоляция рисков

Команда Venus оперативно предприняла меры:

  • Полная приостановка заимствований и выводов в маркете THE
  • Обнуление залоговой стоимости токена THE до выяснения ситуации
  • Ужесточение правил для других низколиквидных активов (BCH, LTC, AAVE)
  • Изоляция риска: проблемный долг ограничен пулом THE, не затронув основные рынки протокола

В заявлении подчёркивается ключевой принцип децентрализации: «Venus — протокол без разрешений. Мы не можем и не должны блокировать адреса только на основании подозрений. Это внутреннее противоречие DeFi, к которому мы относимся со всей серьёзностью».

📉 Контекст: рост атак на лимиты предложения в 2026 году

Инцидент с Venus — не единичный случай. За первые три месяца 2026 года зафиксированы аналогичные атаки:

  • YieldBlox (21 февраля): $10 млн через манипуляцию ценами в пуле на базе протокола Blend
  • Solv Protocol (12 марта): $2,7 млн через уязвимость reentrancy в контракте токенизированного BTC
  • Gondi (14 марта): $230 тыс. через ошибку в контракте продажи заложенных NFT

По данным Immunefi, 62% всех потерь в секторе кредитования за 2025–2026 гг. связаны с манипуляциями оракулами и обходом лимитов предложения. Особенно уязвимы активы с рыночной капитализацией менее $50 млн и ликвидностью на вторичных рынках ниже $5 млн в сутки.

💡 Почему лимиты предложения не спасают?

Механизм лимита предложения теоретически должен предотвращать концентрацию риска. Однако на практике он уязвим по трём причинам:

  1. Статичность параметров: лимиты устанавливаются разово и не адаптируются под изменение рыночных условий
  2. Отсутствие проверки источника: протокол не различает легитимные и агрессивные стратегии накопления
  3. Прямое взаимодействие с контрактом: опытные злоумышленники обходят интерфейсные ограничения через низкоуровневые вызовы

Как отметил аналитик из CertiK: «Лимит предложения — это не техническая защита, а экономический барьер. Если атакующий готов заплатить рыночную цену за контроль над токеном, барьер рушится».

🔮 Будущее: динамические лимиты и многоуровневая верификация

Разработчики протоколов начинают внедрять решения «второго поколения»:

  • Динамические лимиты: автоматическая корректировка в зависимости от ликвидности на 5+ биржах и волатильности
  • Ограничение доли кошелька: максимальная концентрация одного адреса не более 15% от общего предложения
  • Time-locks на крупные депозиты: задержка 24–48 часов перед активацией коллатерала
  • Многоисточниковые оракулы: агрегация данных с бирж, пулов ликвидности и внебиржевых рынков

Aave Shield, запущенный в марте 2026 года, уже применяет подобные механизмы — и инцидент с Venus ускорит их внедрение в другие протоколы.

💡 Заключение: цена децентрализации

Атака на Venus Protocol — не провал технологии, а напоминание о фундаментальном компромиссе децентрализованных финансов: открытость создаёт уязвимости. Протокол не может блокировать подозрительные адреса без централизованного контроля — и именно этим пользуются злоумышленники.

Как сказал один из разработчиков: «Мы строим замки без замков, потому что ключи принадлежат пользователям. Но воры научились подкладывать свои ключи под дверь».

И пока индустрия не найдёт баланс между открытостью и защитой, кладбище провалившихся протоколов будет только пополняться.

21.03.2026, 01:05
Новости