Venus Protocol : L'incident sur le marché de THE provient d'une faille dans la limite d'approvisionnement, et non d'une attaque de prêt flash

Selon Odaily, Venus Protocol a publié une déclaration concernant l'incident sur le marché THE, précisant qu'il ne s'agissait pas d'une attaque par prêt flash, mais que l'attaquant avait exploité une faille d'exécution dans la limite d'approvisionnement du code ancien du protocole. L'équipe indique que l'attaquant a accumulé des tokens THE pendant environ 9 mois, établissant progressivement une position dominante d'approvisionnement sur Venus.

L'annonce précise que l'attaquant a contourné le processus normal de dépôt en transférant directement des tokens THE dans le contrat du protocole, dépassant ainsi la limite d'approvisionnement de 14,5 millions de THE, et a profité de la faible liquidité on-chain pour manipuler le prix sur les DEX. Lorsque le prix externe a été progressivement reflété par l'oracle TWAP, l'attaquant a utilisé la valeur de garantie gonflée pour emprunter en boucle des actifs (tels que CAKE, BNB, etc.), acheter encore plus de THE pour faire monter le prix, et continuer à transférer des THE sur le marché vTHE afin d'augmenter la valeur de garantie. Ce cycle a temporairement fait passer le prix d'environ 0,27 dollar à environ 0,53 dollar, laissant finalement une dette irrécouvrable dans le protocole après la liquidation de la position.

Venus indique que le marché THE a été suspendu, que son facteur de collatéral a été réduit à 0 et que les retraits ont été interrompus. Par mesure de précaution, les facteurs de collatéral de huit autres marchés, dont BCH, LTC, AAVE, POL, FIL, TWT, UNI et lisUSD, ont également été réduits à 0. L'équipe et ses partenaires de sécurité poursuivent leur enquête et publieront ultérieurement un rapport d'analyse complet post-incident.