Розбір справжнього механізму атаки флеш-кредитом на Venus Protocol $THE сьогодні.

Суть цієї події — типовий поєднаний напад флеш-кредиту з маніпуляцією оракулом.
1. Основні інструменти: що таке флеш-кредит (Flash Loan)?
Флеш-кредит — це спеціальна функція позичання, надана розумними контрактами. Вона дозволяє користувачам позичити величезні суми коштів без надання будь-якого застави.
Єдина умова обмеження: позичання, використання коштів і погашення основної суми та відсотків повинні бути завершені в одній транзакції блокчейну, тобто в одному блокчейн-часі, зазвичай за кілька секунд.
Якщо по закінченні транзакції фонди з відсотками не повернені, розумний контракт автоматично відкатує і скасовує цю транзакцію, і все виглядає так, ніби цього ніколи не було.
Це дозволяє зловмисникам миттєво мобілізувати десятки млн доларів коштів для маніпулювання ринком з нульовим фінансовим ризиком.
2. Розбір кроків атаки
Зловмисники використали цей механізм для завершення логічно герметичного циклу арбітражу:
Перший крок: позичання величезної суми коштів.
Зловмисники через протокол флеш-кредиту миттєво позичають величезні суми коштів, зазвичай стейблкоїни або інші високоліквідні активи.
Другий крок: маніпулювання ринком шляхом підвищення спотової ціни.
Зловмисники прямо спрямовують цю величезну суму на пул ліквідності децентралізованої біржі, такої як PancakeSwap, та масово купують THE.
Через короткочасне припливу величезного обсягу покупок спотова ціна $THE миттєво різко підвищується.
Третій крок: спотворена ціна оракула.
Протокол позичання Venus залежить від оракула для отримання цін різних токенів на ринку.
Коли оракул зчитує миттєву ціну $THE на DEX, яка різко зросла, і синхронізує її з Venus,
система Venus визначає, що поточна вартість $THE є надзвичайно високою.
Четвертий крок: хибна висока премійна застава.
Зловмисники, скориставшись загальною завищеною ціною системи, поклали свої $THE в Venus як забезпечення.
Оскільки системою визнано, що забезпечення має "високу вартість",
зловмисники природним чином мали змогу позичити реальні цінні активи, такі як BTCB, CAKE та BNB, з Venus.
П'ятий крок: обвал ціни, погашення та вихід.
Досягнувши мети, зловмисники швидко постбілись решти THE на біржі, переведене у кошти для погашення основної суми та відсотків флеш-кредиту.
Оскільки весь процес завершується за надзвичайно короткий час, зловмисники виходять з прибутком у вигляді позичених BTC та BNB.
3. Наслідки атаки
Після того як зловмисники завершили продаж і вийшли, ціна $THE миттєво обвалилася, повернувшись до справжнього рівня. Це викликало ланцюгову реакцію:
Безнадійні борги та збитки: у протоколі Venus залишилася заставлена зловмисниками $THE , яка тепер різко знецінилась, а високовартісні BTC та BNB було позичено, що призвело до втрат протоколу.
Масові ліквідації: унаслідок обвалу ціни $THE , всі звичайні позиції користувачів у системі Venus, які використовують $THE як заставу,
їх коефіцієнт здоров'я миттєво впав нижче межі безпеки, активувавши автоматичну системну масову примусову ліквідацію, що створила безнадійні борги на суму 14 млн доларів.