📝 نظرة عامة على الحادثة: هجوم Flash Loan على بروتوكول Venus

في 14 مارس 2026، تعرضت منصة الإقراض Venus Protocol على سلسلة BNB لهجوم متطور باستخدام flash loan، مما أسفر عن خسارة تزيد عن 3.7 مليون دولار من أصول التشفير المختلفة. استهدف الهجوم بالتحديد تكامل المنصة مع رمز THENA (THE) منخفض السيولة، مما أدى إلى انهيار سعره بأكثر من 17% في 24 ساعة.

تمكن المهاجم، المحدد برقم العنوان 0x1a35…6231، من الهروب بحوالي 20 BTCB (Bitcoin BEP2)، و1.5 مليون رمز CAKE، و200 BNB.

🕵️ كيفية تنفيذ الهجوم

لم يكن هذا هجوماً بسيطاً من خطوة واحدة. كان استغلالاً مدروساً بعناية جمع بين استراتيجية تراكم طويلة الأجل مع معالجة معقدة قصيرة الأجل لتلاعب الأسعار باستخدام flash loans. يمكن تقسيم الهجوم إلى مرحلتين رئيسيتين:

1. اللعبة الطويلة: تراكم رموز THE (يونيو 2025 - مارس 2026)
· لمدة تسعة أشهر قبل الهجوم، قام المستغِل بتراكم موضع ضخم في رموز THE ببطء وسرية. حصلوا على حوالي 84% من حد إمداد THE على Venus، والذي بلغ تقريباً 14.5 مليون رمز.
· قام هذا التراكم طويل الأجل بتحضير المسرح للاستغلال الرئيسي من خلال ضمان امتلاكهم لقاعدة كبيرة من الرمز المستهدف.

2. اللعبة القصيرة: Flash Loan ومعالجة بيانات الأسعار
· Flash Loan: قام المهاجم بالحصول على flash loan ضخم (قرض غير مضمون يجب سداده في نفس معاملة البلوكتشين) من عملة مستقرة مثل USDC.
· تضخيم سعر THE: استخدموا هذه الأموال المقترضة لشراء كمية ضخمة من THE على بورصة لامركزية مثل PancakeSwap. لأن THE كانت منخفضة السيولة، أدى هذا الاندفاع الشرائي إلى ضخ سعرها بشكل مصطنع من حوالي 0.263 دولار إلى قرب 0.563 دولار.
· استغلال بيانات الأسعار: اعتمد بروتوكول Venus على بيانات أسعار TWAP (Time-Weighted Average Price) لتحديد أسعار الأصول. قام الشراء الضخم للمهاجم بتلاعب سعر السوق، وعندما تم تحديث بيانات الأسعار، عكست السعر المرتفع بشكل مصطنع.
· إيداع ضمان مضخم: قام المهاجم بعد ذلك بتجاوز حدود الإيداع العادية من خلال نقل رموز THE مباشرة إلى عقد البروتوكول، مما أنشأ موضع ضمان بقيمة 53.2 مليون THE - تقريباً 3.7 مرات الحد المسموح به.
· الاقتراض من أصول حقيقية: مع تقييم ضمانهم بالسعر المرتفع والمُغذى من بيانات الأسعار، اقترض المهاجم مبالغ كبيرة من الأصول الحقيقية عالية القيمة من Venus: BTCB و CAKE و BNB.
· السداد والربح: أخيراً، قاموا ببيع بعض رموز THE المتبقية لاسترجاع الأموال، وسداد flash loan، والهروب برموز الأصول المقترضة كربح خالص. بمجرد اختفاء ضغط الشراء الصنعي، انهار سعر THE إلى حوالي 0.22 دولار، تاركاً Venus مع ضمان بلا قيمة.

⚠️ العواقب الفورية واستجابة البروتوكول

تصرف بروتوكول Venus بسرعة لاحتواء الضرر ومنع المزيد من الاستغلالات:

· توقف الأسواق: قاموا على الفور بإيقاف جميع عمليات الاقتراض والسحب لـ THE، وكذلك لعدة أسواق أخرى أظهرت تركيز سيولة مرتفع (BCH و LTC و UNI و AAVE و FIL و TWT).
· تقليل المخاطر: تم تقليل معامل الضمان (CF) لهذه الأسواق الستة، بالإضافة إلى lisUSD، إلى صفر. يستهدف هذا الإجراء الأسواق حيث يمتلك مستخدم واحد حصة كبيرة بشكل غير متناسب من الضمان المزود، مما يمنعها من الاستخدام للاقتراض الإضافي.
· التحقيق الجاري: أفادت الفريق بأن جميع الأسواق الأخرى تظل عاملة وغير متأثرة. التزموا بنشر تقرير تفصيلي شامل بمجرد اكتمال تحقيقهم.

تضيف هذه الحادثة إلى سجل تحديات الأمان لبروتوكول Venus، بما في ذلك حدث دين سيء $95 بملايين الدولارات في عام 2021 وخسائر تتعلق بانهيار Terra/LUNA وهجوم جسر BNB Chain في عام 2022.

آمل أن يكون هذا التفصيل مفيداً. هل تود مني أن أشرح كيفية عمل flash loans بمزيد من التفاصيل، أو تقديم تحديث حول حركة سعر THENA بعد الحادثة؟