Автор: Гу Юй, ChainCatcher
Хакери — це смертельний ворог будь-якого протоколу DeFi. Більшість протоколів DeFi після атак на мільйони доларів зазнають поразки та занепаду, але як головний протокол позичання BNB Chain та внутрішній інкубатор Binance, Venus Protocol є рідкісним винятком.
Venus спочатку розроблений командою Swipe, придбаною Binance, і був запущений у мережі BNB Chain у другому місяці 2020 року. Швидко став найбільшим за обсягом закритих активів та кількістю користувачів протоколом позичання на цій мережі. За даними RootData, наразі FDV токену Venus становить 94 мільйони доларів, а TVL — 1,47 мільярда доларів.
Нещодавно Venus знову став ціллю хакерських атак. За підсумками внутрішнього аналізу команди, зловмисники з червня 2025 року повільно накопичували токени THE через звичайний процес депозиту, у підсумку володіючи близько 12,2 мільйонів THE, що коштує 2,4 мільйони доларів.
15 березня атака безпосередньо внесла всі токени THE як заставу до кредитного контракту, використовуючи низьку ліквідність THE у мережі та затримки TWAP-орієнтованого оракула для циклічного маніпулювання ціною, що дозволило позичити активи на мільйони доларів, такі як BTC, BNB, CAKE та інші.
Зі зломом ціни THE почалися ланцюгові ліквідації, що в підсумку спричинило збитки Venus приблизно на 2,15 мільйона доларів. За останні кілька років Venus майже щороку зазнає хакерських атак, особливо атак на оракули, що призвело до накопичення понад 100 мільйонів доларів збитків.
Інцидент з маніпуляцією ціною оракула XVS
У травні 2021 року зловмисник використав слабкість у ліквідності централізованої біржі (переважно Binance), щоб за короткий час підняти ціну XVS з приблизно 70 до понад 140 доларів. Потім він використав свої XVS як заставу для позичання великої кількості активів у Venus — близько 2000 BTC і 5700 ETH.
Після цього ціна XVS різко впала до 31 долара, викликавши масштабні ліквідації. Через недостатню ліквідність ринку для таких обсягів продажів протокол зазнав збитків понад 95 мільйонів доларів.
Після цього команда протоколу оголосила про вихід команди Swipe з управління, а спільнота сформувала нову раду для подальшого управління протоколом, зберігши тісні зв’язки з Binance.
Крах LUNA у 2022 році
У травні 2022 року, під час краху LUNA, реальна ціна LUNA швидко опустилася нижче 0,1 долара. Однак через те, що оракул Chainlink припинив оновлення ціни після досягнення порогу (0,10 долара), Venus продовжував приймати LUNA за ціною 0,1 долара, що було помилковим «завищенням» вартості.
Зловмисник, виявивши цю вразливість, купив на вторинному ринку багато LUNA за низькою ціною і заклав їх у Venus, використовуючи завищену ціну для позичання інших активів, що знову спричинило збитки понад 11,2 мільйона доларів.
Інцидент з Binance Oracle у 2023 році
У грудні 2023 року через використання Venus у ізольованому пулі snBNB з низькою ліквідністю та даних оракула Binance, зловмисник купив snBNB у дуже тонкому пулі PancakeSwap. Це миттєво підняло ціну snBNB до абсурдного рівня.
Після цього він внесли 0,49 snBNB і позичили майже всі доступні активи пулу (WBNB, BNBx, ankrBNB тощо), загальною вартістю близько 274 тисяч доларів, а потім вивели їх через міжланцюговий міст. В результаті управління Venus запропонувало використати казначейські кошти для повного покриття збитків.
Маніпуляція ціною оракула wUSDM у 2024 році
У лютому 2024 року зловмисник використав вразливість протоколу ERC-4626 для штучного завищення ціни стабільної монети wUSDM, випущеної Mountain Protocol, до 1,7 долара. Потім він внесли невелику кількість wUSDM у Venus.
Через те, що оракул зафіксував штучно завищену ціну, зловмисник позичив активи, забезпечені цим завищеним заставою, і вивів активи на більш високій цінності (USDC, ETH тощо). Коли ціна wUSDM повернулася до нормальної — 1 долар — він уже вивів позичені активи і не повернув їх. Після ліквідації цієї транзакції протокол зазнав збитків близько 716 тисяч доларів.
Дискусії щодо управління спільнотою
Крім вищезгаданих атак, у вересні 2021 року Venus став об’єктом критики через одне управлінське рішення. Тоді користувач спільноти запропонував створити команду Bravo з рівними правами голосування та збору коштів, що нібито дозволило б їй управляти протоколом.
Однак ініціатор, ймовірно, обіцяв розподілити токени для залучення голосів. Згідно з пропозицією, з 1,9 мільйона XVS, що планували залучити, команда Bravo мала отримати 900 тисяч XVS (на 29 мільйонів доларів) для розподілу серед голосуючих. 14 вересня пропозиція була схвалена 1,29 мільйонами «за» і 1,19 мільйонами «проти».
Згідно з галузевими стандартами, після схвалення таке рішення має виконати команда, але Venus «скасувала» його одним натисканням, щоб запобігти контролю з боку анонімних осіб через хабарі. Це один із рідкісних випадків, коли управлінська пропозиція у блокчейні була схвалена, але не реалізована.
Крім того, у вересні 2025 року стався ще один інцидент, унаслідок якого користувачі втратили понад 13 мільйонів доларів через злом фронтенду інтерфейсу, що змусило їх підписати транзакцію делегування адреси, а не через вразливість самого Venus.
Чому Venus вважається «виживальником»
Аналізуючи ці атаки, Venus можна назвати рідкісним «виживальником» у криптосфері, можливо, й найопитнішим проектом у сфері захисту від хакерських атак. Це значною мірою зумовлено підтримкою з боку Binance, яка забезпечує ресурси та репутацію для Venus. Навіть за таких масштабних інцидентів Binance продовжує залучати користувачів до Venus через фінансові продукти для отримання вищих доходів.
Статистика TVL на Venus у мережі — джерело: DeFillama
Відомо, що Binance має абсолютний вплив у екосистемі BNB Chain. Як основна підтримка у сфері позичання, Venus має унікальні переваги щодо екосистемної підтримки та гарантій ризиків, яких не мають більшість інших DeFi-проектів, навіть попри потенційні безпекові ризики.
З точки зору галузі, ці випадки також підкреслюють вразливість DeFi. Від затримок оракулів, низької ліквідності, маніпуляцій ціною до вразливостей у механізмах управління — ці проблеми неодноразово виникали у Venus та інших DeFi-проектах.
У високотехнологічних автоматизованих системах DeFi, навіть одна помилка у дизайні може дозволити зловмиснику використовувати цінові коливання, ліквідність або часові розриви для складних арбітражних атак.
Можливість виживання Venus після кількох криз значною мірою залежить від сильної підтримки екосистеми та здатності компенсувати збитки. Однак для більшості DeFi-проектів одна атака на мільйон доларів може означати їхній кінець.
«Винятковість» Venus підтверджує здатність провідних екосистем захищати свої проекти, але також підкреслює загальну вразливість систем безпеки у DeFi — коли безпека залежить від «забезпечення великих гравців», а не від внутрішніх механізмів ризик-менеджменту, справжня безпека DeFi залишається довгим шляхом.
