15 березня децентралізована платформа Venus Protocol у BNB Chain стала об’єктом хакерського нападу. Об’єктом інтересу зловмисника став токен THE від DeFi-проєкту Thena.
Наш керівник з управління ризиками @AllezLabs ділиться інформацією про те, що нам відомо на даний момент. Ми будемо продовжувати публікувати оновлення в міру розвитку розслідування. https://t.co/VeBsdzDMXH
— Venus Protocol (@VenusProtocol) March 15, 2026
Зловмисник використав незначний обсяг торгів THE та реалізував типову маніпуляцію ціновим оракулом. Він депонував токен як заставу, отримував під нього позику в інших криптоактивах, миттєво купував на них додаткові THE і повторював коло. Всі дії були чітко скоординовані з моментами оновлення даних тимчасового оракула.
Можливість для подібного способу нападу виникла після того, як Venus додав THE до переліку заставних активів свого головного пулу.
Подробиці атаки
Одним з перших на інцидент звернув увагу ончейн-аналітик Вейлінь Лі. За його словами, хакер штучно підняв вартість монети з $0,27 до майже $5.
https://t.co/RV18WHJalA
— Weilin (William) Li (@hklst4r) March 15, 2026
Експерт зіставив атаку зі зломом DeFi-платформи Mango Markets, який трапився у 2022 році.
Для обходу обмеження на внесення THE у Venus зловмисник застосував так звану donation attack. Він переказав токени безпосередньо в смартконтракт vTHE в обхід звичайної процедури випуску. Це штучно завищило обмінний курс платформи та дозволило обійти встановлене обмеження.
Після першого етапу запозичень тимчасовий оракул Venus актуалізував ціну THE до $0,5. Показник значно відставав від ринкових котирувань, але майже вдвічі перевищував початковий рівень.
Атакуючий намагався запустити цикл знову, купуючи THE на запозичені кошти, але не витримав тиску продавців. Коефіцієнт здоров’я (health factor) знизився майже до одиниці, і протокол ліквідував позицію.
Номінальне забезпечення досягало $30 млн, але ринкової ліквідності для такого продажу не знайшлося — THE обвалився в порожню склянку. Після ліквідації ціна впала до $0,24.
Хакер нічого не заробив
За словами Лі, хакер практично нічого не отримав і, ймовірно, навіть залишився в мінусі. Проте він не виключив, що зловмисник хеджувався через безстрокові ф’ючерси на сторонніх платформах.
Аналітик під псевдонімом EmberCN оцінив незворотний борг Venus у $2,15 млн — це непогашені позики на 1,18 млн CAKE і 1,84 млн THE. Він також акцентував увагу, що початковий капітал атакуючого (7400 ETH) надійшов із міксера Tornado Cash.
Адреса, що отримала 7400 ETH із Tornado (хакер?), була рушійною у вечірніх ліквідаціях застав за CAKE і THE.
Це призвело до того, що у Venus утворився приблизно $2,15 млн дефіцит від ліквідацій (1,18 млн CAKE + 1,84 млн THE), тоді як хакер отримав із Venus близько $5,07 млн коштів (2 172 BNB + 1,516 млн CAKE + 20 BTC).1) Спочатку через адресу 0x7a7…234 отримав із Tornado 7,400… pic.twitter.com/W6YwQpKJQF
— 余烬 (@EmberCN) March 15, 2026
«Він позичив 9,92 млн USDT, щоб створити хаос, але активи, виведені з Venus, коштували всього $5,07 млн. В ончейні картина збиткова, але я підозрюю, що він грав на пониження THE через ліквідації та заробляв на CEX», — підкреслив експерт.
Нагадаємо, у березні 2025 року Venus втратив понад $716 000 через аналогічну атаку з маніпулюванням оракулом.