ハッカーのATMに成り下がったまま屹立し続けるVenusの盗難は、DeFiの窮状を映し出している - ChainCatcher

作者：谷昱，ChainCatcher

ハッカーはあらゆるDeFiプロトコルの致命的な敵であり、ほとんどのDeFiプロジェクトは数百万ドル規模の攻撃による損失を受けて衰退の道をたどる。しかし、BNBチェーンの主要な貸借プロトコルであり、バイナンス内部のインキュベーションプロジェクトであるVenus Protocolは、明らかに例外的な存在である。

Venusは最初にバイナンスに買収されたSwipeチームによって開発され、2020年BNBチェーンのメインネット稼働の翌月にリリースされた。迅速にBNBチェーン上で最も資産をロックし、ユーザーベースも最大の貸借プロトコルとなった。RootDataによると、現在VenusのトークンのFDVは9400万ドル、TVLは14.7億ドルに達している。

最近、Venusは再びハッカーの攻撃対象となった。公式チームの振り返りによると、攻撃者は2025年6月から通常の預入手順を通じてTHEトークンをゆっくりと蓄積し、最終的に約1220万枚のTHEを保有し、その価値は240万ドルにのぼる。

3月15日、攻撃者はすべてのTHEトークンを担保として借入契約に預入れ、チェーン上のTHE流動性が非常に低いこととTWAPオラクルの遅延を利用して、再帰的な価格操作を行い、数百万ドル相当のBTC、BNB、CAKEなどの資産を借り出した。

THE価格の崩壊に伴う連鎖的な清算により、この事件は最終的にVenusに約215万ドルの不良債権をもたらした。過去数年間を振り返ると、Venusはほぼ毎年ハッカーの攻撃を受けており、特にオラクル攻撃により、合計で1億ドルを超える不良債権が発生している。

XVSオラクル価格操作事件

2021年5月、攻撃者はXVSトークンの流動性不足を突いて、短時間でXVSの価格を約70ドルから140ドル以上に引き上げた。その後、攻撃者は保有していたXVSを担保に、Venusから大量の高品質資産（約2000BTCと5700ETH）を借り出した。

その後、XVSの価格は急落し、最低31ドルまで下落して大規模な清算が発生した。市場の流動性がこれほどの清算売りを支えきれず、Venusは9500万ドルを超える不良債権を抱えた。

この事件後、同プロトコルはSwipeチームの管理から離れ、コミュニティメンバーによる新たな理事会が後継のガバナンスを引き継いだが、依然としてバイナンスの背景を持つ。

LUNA崩壊事件

2022年5月、LUNAの崩壊事件では、LUNAの実価格が短時間で0.1ドルを下回ったが、Chainlinkのオラクルが価格が特定の閾値（0.10ドル）に達した後に更新を停止したため、Venusは誤った「高値」のままLUNAを担保として受け入れ続けた。

攻撃者はこの脆弱性を発見後、二次市場で低価格で大量のLUNAを購入し、Venusに預入れ、虚高の価値で担保にして他の資産を借り出し、再び1120万ドルを超える不良債権を生み出した。

Binance Oracle事故

2023年12月、Venusは流動性の低い資産snBNBの隔離借入プールでBinance Oracleの価格情報を採用していたが、攻撃者はPancakeSwapの非常に薄いプールでsnBNBを買い、深度の脆弱さを突いて瞬間的に価格を吊り上げた。

攻撃者はその後、0.49個のsnBNBを預入れ、プール内のほぼすべての資産（WBNB、BNBx、ankrBNBなど）を借り出し、総額約27.4万ドルに達した。その後、クロスチェーンブリッジを通じて資金を洗浄した。最終的に、Venusのガバナンスは提案を通じて、国庫資金を動員しこの不良債権を全額補填した。

wUSDMオラクル価格操作事件

2024年2月、攻撃者はERC-4626プロトコルの脆弱性を突き、Mountain Protocolが発行したwUSDMステーブルコインの価格を短時間で1.7ドルに引き上げた。その後、攻撃者はVenusに少量のwUSDMを預入れた。

オラクルが操作された「虚偽の高値」を読み取ったため、攻撃者はこれらの虚増されたwUSDM担保を用いて、プール内のより高価な資産（USDC、ETHなど）を借り出した。wUSDMの価格が正常な1ドルに戻ると、攻撃者は借りた資産を移動させ、返済しなくなった。Venusはこの取引の清算後、約71.6万ドルの不良債権を抱えた。

コミュニティガバナンスの論争

上記の攻撃事故以外にも、Venusは2021年9月にガバナンス事件を起こし、外部から疑問の声が上がった。当時、Venusコミュニティのユーザーが「Bravoチームの結成」という提案を行い、そのチームに対して投票と資金調達の権限を原ガバナンスチームと同等に付与しようとした。

しかし、発案者はトークン配布を約束して投票を誘導した疑いがある。提案の説明によると、190万XVSのうち、Bravoチームは90万XVS（2900万ドル）を配布し、賛成票を出したアドレスに送る予定だった。最終的に、9月14日午後10:33に、賛成129万票、反対119万票で提案は承認された。

業界の理念によれば、オンチェーンのガバナンス提案はチームが実行すべきだが、Venusチームは「ワンクリックキャンセル」を行い、この決定を無効化した。これは、匿名の者が賄賂を使ってプロトコルを支配するのを防ぐ狙いだった。これまでに、DeFi業界で提案や投票が通ったにもかかわらず、実行されなかった例は非常に少ない。

また、2025年9月には、Venusはユーザーが1,300万ドル超の資金を失うセキュリティ事故も起きているが、これは主にユーザーの端末のフロントエンドがハッカーに改ざんされ、「アドレス代理委任（delegate）」の取引に署名させられたためであり、Venus自体の脆弱性によるものではない。

Venusが「生き残った理由」

これらの攻撃事故を振り返ると、Venusは暗号業界において稀な「生存者」と呼ばれ、ハッカー攻撃に対処する経験豊富なプロジェクトとなっている。これは大きく、バイナンスが資源とブランド力を持ち続けていることに起因しており、たとえ多くのセキュリティ事故があっても、バイナンスは引き続き資産運用機能を通じて取引所ユーザーにVenusへの預入を促し、高い利回りを提供している。

Venusのチェーン上TVL統計 出典：DeFillama

広く知られているように、バイナンスはBNBチェーンエコシステムにおいて絶対的な発言権を持つ。バイナンスの貸借分野の主要サポート対象として、Venusは他のほとんどのDeFiプロジェクトにはないエコシステムの優遇とリスクヘッジ能力を享受している。とはいえ、いくつかのセキュリティリスクも存在する。

業界の観点から見ると、DeFiの脆弱性はこれらの事例においても浮き彫りになっている。オラクルの遅延、流動性不足、価格操作、ガバナンスの脆弱性など、これらの問題はVenusや他の多くのDeFiプロジェクトの歴史の中で繰り返し発生してきた。

高度に自動化されたDeFiシステムでは、どこか一つの設計に欠陥があれば、攻撃者は価格や流動性、時間差を利用して複雑なアービトラージ攻撃を仕掛けることができる。

Venusが何度も危機を乗り越えて存続できているのは、強力なエコシステムの支援と資金補償能力に大きく依存している。しかし、多くのDeFiプロジェクトにとっては、数千万ドル規模の攻撃一度でプロトコルが終焉を迎えることも珍しくない。

Venusの「例外」は、主要エコシステムの支援能力を証明するとともに、DeFiの安全性がいかに脆弱であるかを浮き彫りにしている。安全性が「大手の保証」に頼るだけでなく、プロトコル自身のリスク管理と仕組みの保証が必要な段階において、DeFiの真の安全性は依然として遠い道のりである。