去中心化レンディングプロトコル Venus Protocol は、2026年3月15日に複雑な攻撃を受け、約370万ドル相当のデジタル資産を失い、約218万ドルの不良債権を残しました。攻撃者は流動性の低いトークン $THE の価格操作を利用し、オンチェーンの借入とオフチェーンのデリバティブポジションを組み合わせてクロスプラットフォームのアービトラージを行い、DeFiの担保メカニズムのシステムリスクを再び露呈させました。
攻撃の詳細:七つの連鎖操作がどのように Venus を席巻したか
オンチェーン分析機関 Lookonchain が X(旧Twitter)に投稿した詳細レポートによると、今回の攻撃は綿密な構造を持ち、プライバシーツールや複数の借入協議、中央集権型取引所を駆使し、即時検知が難しいクロスチェーン操作を形成しました。
ステップ1:資金源 攻撃者はプライバシーツール Tornado Cash を通じて約7,400 ETHを取得し、資金の出所を隠蔽しました。
ステップ2:ステーブルコインの借入 ETHをAaveに預け入れ、約992万ドルのステーブルコインを借り出し、後続の操作資本としました。
ステップ3:$THE価格の吊り上げ 複数のウォレットを使い、中央集権取引所で大量に$THEを買い、同時にロングポジションを構築し、意図的にトークン価格を押し上げました。
ステップ4:虚高の担保を用いた借入 価格が高騰したタイミングで、主要な2つのウォレットから Venus Protocol に約3,610万枚の$THEを預け入れ、約507万ドルの資産(約20 BTC、151.6万枚のCAKE、2,172枚のBNB)を借り出しました。
ステップ5:売り浴びせ $THEを借入後、中央集権取引所で大量に$THEを売却し、空売りを仕掛けて価格を急落させました。
ステップ6:連鎖清算の発動 $THEの担保価値が急落し、Venusは大規模な清算を引き起こし、借入金の回収不能と不良債権を生み出しました。
ステップ7:オフチェーンでの利益 攻撃者の真の利益は、中央取引所のデリバティブポジションから得られ、オンチェーンの損失を補うほどの収益を得ました。
不良債権の構成と協議の対応
清算後、Venus Protocol には約118万枚のCAKEと184万枚の$THEの不良債権が残り、合計約218万ドルの回収不能な損失となりました。協議は直ちに$THEの借入と引き出しを停止し、一部のプール(例:CAKEプール)も影響を受け、流動性の低い市場の担保係数を緊急で引き下げる措置を取りました。
Venus Protocol は現在、公式の完全な声明を発表していませんが、コミュニティの報告によると、他の市場ポジションには現時点で影響は出ていないとのことです。ユーザーは公式チャンネルを継続的に注視し、最新情報を入手することを推奨します。
この攻撃手法は珍しくない
今回の事件は2022年の Mango Markets 攻撃と類似しており、予言機の操作や担保供給上限の設計欠陥を利用した点で共通しています。両事件は、流動性の低いトークンを担保に許可し、外部取引所の価格に大きく依存する協議は、価格操作の標的になりやすいことを示しています。
リスク警告:分析者は、DeFiの借入協議が低流動性担保に対して厳格な供給上限や集中度制限、独立した予言機の仕組みを設けていない場合、同様の攻撃リスクに常にさらされると指摘しています。今回の事件は、担保資格基準やリスクパラメータの再検討を業界に促すものです。
この文章は Venus Protocol の損失370万ドル:$THEの低流動性トークンが攻撃の突破口に、BNB Chain DeFi からの警鐘として最も早く公開された記事です。
