Venus Protocolの市場イベント、実は思ってた以上に複雑な話みたいですね。

公式の説明によると、これはフラッシュローン攻撃じゃなくて、プロトコルのレガシーコードに潜んでた供給上限の脆弱性を悪用されたっていう話。攻撃者が約9ヶ月かけてTHEトークンを地道に貯め込んで、Venus上で支配的なポジションを構築してたんだとか。

やり口がなかなか巧妙で、THEを直接プロトコル契約に送り込むことで通常の預金プロセスを迂回し、1,450万枚の供給上限を突破してしまった。その後、オンチェーンの流動性が低いという特性を使ってDEX価格を操作。TWAPオラクルが価格変動を段階的に反映するタイミングを狙って、膨張した担保価値を使ってCAKEやBNBを何度も借入して、さらにTHEを買い増しして価格を押し上げるっていう循環を作ったわけです。

結果として価格は0.27ドルから0.53ドルまで上昇したけど、最終的にポジションが清算されて、プロトコル内に不良債権が残ってしまった。

Venus Protocolの対応としては、THE市場を一時停止して担保係数をゼロに引き下げ、引き出しも停止。さらに予防措置として、BCH、LTC、AAVE、POL、FIL、TWT、UNIとlisUSDの8つの市場についても担保係数をゼロに引き下げてます。

チームとセキュリティパートナーは引き続き調査中で、完全な事後分析レポートは後ほど公開予定。Venus Protocolがどう対応するか、ユーザーとしては注視する必要がありそうですね。