تم تفعيل اختراق بروتوكول Venus بخسارة بقيمة 3.7 مليون دولار بعد التلاعب برمز THE على سلسلة BNB

تم إعادة إشعال المخاوف بشأن إدارة مخاطر التمويل اللامركزي (DeFi) بعد هجوم جديد على سوق الإقراض الرائد على شبكة BNB، حيث تم ربط أحدث اختراق لبروتوكول Venus مرة أخرى بضعف في الأوراكل والسيولة.

كيف تم تنفيذ التلاعب بسعر THE على Venus

في الأحد، تعرض بروتوكول Venus، المنصة الرائدة للإقراض على شبكة BNB، لهجوم متطور يركز على THE، الرمز الأصلي لـ Thena. استهدف الحادث سوق أصل معين، وكشف عن ضعف هيكلي في عمليات إدخال الضمانات وافتراضات السيولة.

استغل المهاجم ضعف السيولة على السلسلة لدفع سعر THE من حوالي 0.27 دولار إلى ما يقرب من 5 دولارات. اعتمدت استراتيجيته على إيداع الرمز كضمان بشكل متكرر، واقتراض أصول أخرى، وشراء المزيد من THE باستخدام الأموال المقترضة، وتكرار هذه العملية. علاوة على ذلك، استمر أوراكل السعر في تتبع القيمة السوقية المزيفة خلال هذه الدورات.

لتجاوز حد العرض على THE في Venus، استخدم المهاجم تقنية هجوم التبرع. بدلاً من استخدام وظيفة الإيداع القياسية، قام بنقل الرموز مباشرة إلى عقد الذكاء vTHE. أدى هذا التدفق إلى تشويه سعر الصرف الداخلي للبروتوكول، مما ألغى بشكل فعال القيود المفروضة على العرض، وسمح بإنشاء ضمانات ضخمة.

باستخدام الضمانات المزيفة، استنزف المستغل عدة أصول من البروتوكول. سحب 6.67 مليون CAKE، و1.58 مليون USDC، و2801 BNB، و20 بيتكوين خلال فترة قصيرة، محولًا التقييم المُعدّل لـ THE إلى قيمة حقيقية عبر عدة رموز سائلة.

تقديرات الخسائر، الديون المعدومة والاستجابة الطارئة

تجاوزت الأضرار الإجمالية من الهجوم 3.7 مليون دولار، وفقًا لتقارير Wu Blockchain. ومع ذلك، لا تبقى كل هذه الخسارة كتعرض مفتوح. قدر المحلل المستقل EmberCN أن حوالي 2.15 مليون دولار لا تزال كديون معدومة على Venus، تتكون من حوالي 1.18 مليون CAKE و1.84 مليون THE لم تعد مضمونة بشكل كافٍ.

كان عنوان المحفظة الذي يقف وراء العملية ممولًا في البداية بـ 7400 ETH عبر Tornado Cash، أداة خلط العملات المشفرة التي تركز على الخصوصية. ومع ذلك، فإن استخدام مثل هذه الأدوات شائع في الاختراقات المعقدة، ويصعب على المحققين والأنظمة المتأثرة تتبعها واستردادها.

ردًا على ذلك، أعلن بروتوكول Venus على منصة X أنه اكتشف “نشاطًا غير عادي” في تجمع سيولة THE. وسرعان ما قام الفريق بتجميد جميع وظائف الاقتراض والسحب المتعلقة بـ THE، واصفًا القرار بأنه إجراء احترازي طارئ أثناء إجراء مراجعة أمنية داخلية وخارجية.

مقايضات المهاجم والخسارة الصافية المحتملة

لم تسر عملية الاستغلال تمامًا كما كان يتوقع المهاجم. بعد أول دورة اقتراض، قام أوراكل السعر المتوسط ​​المرجح للوقت الخاص بـ Venus بضبط تقييم THE إلى حوالي 0.50 دولار، وهو أقل بكثير من مستوى 5 دولارات تقريبًا الذي شوهد في التداول الفوري. أدى ذلك إلى تقليل قيمة الضمان الفعالة داخل البروتوكول.

ومع ذلك، استمر المهاجم في شراء THE باستخدام رأس مال مقترض، محاولًا الحفاظ على السعر المرتفع وزيادة قدرة الاقتراض. لكن ضغط البيع المستمر غلب على دفتر الطلبات الضحل. اقترب عامل صحة الحساب من 1، مما أدى إلى عمليات تصفية واضطر إلى بيع الضمانات في سوق يتراجع بسرعة.

حدثت عملية التصفية في سوق ذات عمق ضئيل، حيث انهار سعر THE إلى حوالي 0.24 دولار، وهو أدنى من سعره قبل الهجوم الذي كان يقارب 0.27 دولار. قال الباحث الأمني على السلسلة Weilin Li، الذي أبلغ عن الحادث علنًا لأول مرة، إن المهاجم ربما أدرك أن أرباحه على السلسلة كانت محدودة وربما تكبد خسارة صافية في النهاية.

حتى وقت النشر، تم تداول THE بالقرب من 0.2255 دولار، مسجلًا انخفاضًا بأكثر من 17% خلال الـ 24 ساعة الماضية. ويؤكد هذا الانعكاس الحاد كيف يمكن لتقلبات شديدة في الأصول غير السائلة أن تعكس اقتصاديات ما يبدو في البداية تلاعبًا مربحًا.

نمط حوادث الديون المعدومة في Venus

تضيف هذه الحادثة الأخيرة لبروتوكول Venus إلى سجل الخسائر المرتبطة بالتلاعب في السوق وتصميم الضمانات. في عام 2021، أدى مخطط باستخدام الرمز الأصلي XVS إلى توليد أكثر من 95 مليون دولار كديون معدومة، تاركًا البروتوكول ومجتمعه بثقب كبير يتعين معالجته.

ثم، خلال انهيار Terra/LUNA في 2022، استوعب Venus حوالي 14 مليون دولار من التعرض غير المضمون. ومع ذلك، كانت تلك الخسائر ناجمة عن فشل نظامي في السوق وليس عن استغلال مباشر، مما يسلط الضوء على بعد مختلف ولكنه مرتبط من المخاطر في منصات الإقراض متعددة الأصول.

وفي الآونة الأخيرة، في فبراير 2025، ضرب هجوم مماثل يعتمد على التبرع بروتوكول Venus على ZKSync. استخدم المهاجمون آليات مماثلة للحادث يوم الأحد لإنشاء ديون معدومة تزيد عن 700,000 دولار. تكرار هذا النمط عبر البيئات زاد من التدقيق في كيفية تعامل البروتوكول مع إدخال الضمانات وسلوكيات الحالات الطارئة.

مخاطر التصميم المستند إلى Compound والتحذيرات التي تم تجاهلها

الضعف الأساسي المستخدم هنا ليس فريدًا من نوعه لبروتوكول Venus. يمثل هجوم التبرع نمط ضعف معروف في أنظمة الإقراض المستنسخة من Compound، حيث يمكن للتحويلات المباشرة للرموز إلى الأسواق ذات الفائدة أن تشوه الحسابات التي تدعم تقييم الضمانات وحدود العرض.

من المهم أن مراجعة الأمان Code4rena لبروتوكول Venus كانت قد حذرت بالفعل من هذا النوع من المخاطر. ومع ذلك، أبلغ فريق التطوير عن شكوك حول خطورة الاكتشاف في ذلك الوقت، واختار عدم تنفيذ تدابير وقائية كاملة. تكرار هجوم مماثل الآن يضع هذا القرار تحت انتقادات متجددة من قبل خبراء الأمان والمستخدمين.

بالنسبة لأسواق التمويل اللامركزي على شبكة BNB وما بعدها، يعزز الاختراق الأخير لبروتوكول Venus كيف يمكن للمشاكل النظرية المعروفة أن تتحول إلى خسائر حقيقية إذا تُركت دون معالجة. من المتوقع أن تركز الإجراءات المستقبلية على فرض قيود أكثر صرامة على سيولة الضمانات، ومصادر الأوراكل، والتحويلات على نمط التبرع لاستعادة الثقة.

باختصار، هجوم Venus على THE الذي تضمن تلاعبًا في السعر، واعتمادًا على الأوراكل، واستخدام تقنية التبرع لتوليد أكثر من 3.7 مليون دولار من الضرر، وكشف مرة أخرى عن المخاطر الهيكلية القديمة في بروتوكولات الإقراض المستندة إلى Compound.