Протокол Venus зазнав атаки за допомогою $THE флеш-кредиту: справжній механізм роботи.

Суть цієї події — це типова атака, що поєднує флеш-кредит та маніпуляцію оракулом.

1. Основний інструмент: що таке флеш-кредит (Flash Loan)?

Флеш-кредит — це особлива функція кредитування, яку надають розумні контракти. Вона дозволяє користувачам позичати величезні суми без надання будь-якого забезпечення.

Єдина умова: позика, використання коштів та повернення основної суми з процентами мають бути здійснені в одній транзакції блокчейна, зазвичай за кілька секунд.

Якщо в кінці транзакції не повернути основну суму з процентами, розумний контракт автоматично скасує цю транзакцію, і все буде так, ніби цього ніколи не було.

Це дозволило зловмиснику маніпулювати ринком, миттєво залучаючи десятки мільйонів доларів без ризику втрати власних коштів.

2. Розбір кроків атаки

Зловмисник, використовуючи цей механізм, здійснив логічно послідовне арбітражне коло:

Крок перший: позика величезної суми.
Зловмисник через протокол флеш-кредиту миттєво позичає величезну суму коштів, зазвичай стейблкойни або інші високоліквідні активи.

Крок другий: маніпуляція ринком через підняття спотової ціни.
Зловмисник спрямовує цю грошову суму безпосередньо в пул ліквідності децентралізованої біржі, такої як PancakeSwap, масово купуючи THE.

Через масований приплив ордерів на купівлю за короткий час спотова ціна $THE миттєво різко зростає.

Крок третій: викривлення ціни оракула.
Протокол позичання Venus залежить від оракула для отримання цін маркетів на різні токени.

Коли оракул реєструє миттєвий скачок ціни $THE на DEX і синхронізує це з Venus,
система Venus визначає, що $THE має надзвичайно високу вартість.

Крок четвертий: завищена цінність забезпечення.
Зловмисник, користуючись завищеною системною оцінкою, депонує свій $THE у Venus як забезпечення.

Оскільки система визнає забезпечення "високої вартості",
зловмисник без проблем позичає з Venus реальні цінні активи, такі як BTCB, CAKE та BNB.

Крок п'ятий: продаж, повернення та вихід.
Досягши своєї мети, зловмисник швидко продає залишок THE на біржі, отримуючи кошти для повернення основної суми та процентів за флеш-кредитом.

Оскільки весь процес відбувається за надзвичайно короткий час, зловмисник залишає ринок з прибутком у вигляді позичених BTC та BNB.

3. Наслідки атаки

Після того як зловмисник завершив продаж і покинув ринок, ціна $THE миттєво обвалилася до реального рівня. Це спричинило ланцюгову реакцію:

Безнадійні борги та збитки: у протоколі Venus залишилися девальвовані токени $THE , які позичив зловмисник, тоді як високовартісні BTC та BNB уже були позичені, що привело до втрат протоколом.

Масове форсування ліквідації: Коли ціна $THE впала в прірву, всі звичайні позиції користувачів у системі Venus, які використовували $THE як забезпечення,
коефіцієнти їх здоров'я миттєво впали нижче безпечної межі, спричинивши масову примусову ліквідацію системою, що утворило безнадійні борги у розмірі 14 мільйонів доларів.