BNBチェーン最大のレンディングプラットフォームであるVenus Protocolは、攻撃者がTHENAの流動性の低いTHEトークンを悪用して推定370万ドル相当のデジタル資産を流出させた後、追加で6つの市場における担保を凍結した。
セキュリティ研究者は、攻撃者のアドレスを0x1a35…6231と特定した。このアドレスにはクリプトミキサーTornado Cashから7400イーサリアムが送られ、攻撃の実行に利用された。
ベヌス、集中リスク対策で6市場を一時停止
オンチェーンリサーチャーのウェイリン・リー氏によれば、攻撃者はTHEで大規模なポジションを構築し、その価格を約0.27ドルから5ドル近くまで釣り上げた。
この膨れ上がった担保を活用し、20 BTCB、150万CAKE、200 BNBを借り入れた。その後、清算によりTHE価格は0.24ドルまで急落した。
Venusの供給上限を回避するため、攻撃者は通常のミント手続きではなく、THEトークンを直接vTHEコントラクトへ送付した。この手法はCompound系レンディングプラットフォームの既知の脆弱性によるもの。
THENAは、セキュリティシステムが本件を協定世界時12時ごろ検知したと発表し、同社のスマートコントラクトへの侵害はなかったと確認した。
VenusはTHEおよびCAKE市場に「異常な動き」があったことを認めた。
この対応策として、Venusはビットコインキャッシュ(BCH)、ライトコイン(LTC)、ユニスワップ(UNI)、アーベ(AAVE)、ファイルコイン(FIL)、トラストウォレットトークン(TWT)の担保係数をゼロへ引き下げた。
この凍結は、時価総額20億ドル以下、1日あたり出来高1億ドル未満、DEX TVL4000万ドル未満、単一ユーザーによる担保集中度60%以上の市場が対象となる。
Venusは2021年以降、XVS価格操作による9500万ドルやTerra/LUNA崩壊による1400万ドルなど、複数の流出で不良債権を積み上げてきた。TVLは過去最高の70億ドルから現在は約14億7000万ドルに減少した。
