3月15日、攻撃者がBNBチェーン上のレンディングプラットフォーム「Venus Protocol」を標的とし、フラッシュローン攻撃の疑いがある事案が発生した。この攻撃により推定370万ドル相当のデジタル資産が盗まれた。
この被害は、過去1年以内における同プロトコルで2度目となる大規模なセキュリティ事故であり、かつて分散型金融(DeFi)の頂点にあった同プラットフォームの評判がさらに傷つく結果となった。
Venusで異常な動作を確認
チェーン上データを分析したセキュリティ研究者によると、攻撃を指揮した特定の攻撃者アドレス「0x1a35…6231」を特定したという。攻撃者はThena取引所のネイティブトークンであるTHEの大量ポジションを利用し、同プロトコルから流動性を計画的に抜き取った。
攻撃者はTHEを担保とすることで、約20BTCB、150万CAKE、200BNBを引き出すことに成功した。
実際、DeFiユーザーは通常、フラッシュローンを使い、担保なしで数百万ドル規模を借り入れることができる。この物議を醸しつつも人気の高い手法は、1つのトランザクションブロック内での全額返済を前提とする。
開発者は元々流動性効率化のためにこうしたローンを設計したが、ハッカーの多くがこれを武器化し、流動性の薄いプールやオラクル価格を操作するケースが増えている。
今回の事例では、攻撃者がTHEの価値を利用して、プロトコルにとって回収の難しい質の高い資産を借り出したとみられる。
VenusはX(旧Twitter)で「異常な動き」があったことを声明で公表した。また、調査範囲はTHE市場とCAKE市場に絞られていると述べた。
「調査の進捗に応じて情報を共有する。皆さまのご理解とご支援に感謝する」と付け加えた。
この事件は、承認不要レンディングに内在する「担保リスク拡大(連鎖)」の危険性を改めて突きつけるものとなった。2020年に始動したVenusは、Arbitrumやイーサリアムなどのネットワークへ展開したものの、Total Value Locked(TVL)は70億ドルのピーク時から約14億7000万ドルへ急減している。
この下落は、相次ぐ市場の逆風や昨年の1300万ドル規模のフィッシング被害も影響している。
ハッカーがすでに2026年時点で4億ドル超を暗号資産プロトコルから流出させたなか、今回のVenusへの攻撃は業界全体がインフラの安全確保という構造的課題に直面していることを改めて示した。
