Eksploatacija izazvala pad THE tokena za 17%, dok je CoinDesk 20 indeks izgubio 4,6% u istom periodu
Token upravljanja Venus protokola (XVS), koji funkcioniše na BNB Chain-u i upravlja ukupnom vrednošću zaključanom od preko 1,4 milijarde dolara (oko 151,2 milijarde dinara), zabeležio je pad od 9% u poslednja 24 časa nakon što je protokol pretrpeo exploit koji je ostavio 2,15 miliona dolara (oko 232 miliona dinara) nenaplativog duga. Ovaj pad dolazi u trenutku kada je širi CoinDesk 20 indeks izgubio 4,6% vrednosti u istom periodu, što ukazuje na širi izlazak iz rizičnih sredstava na tržištu digitalne imovine.
Eksploatacija se dogodila 16. marta, ali značajniji uticaj na cenu XVS nije bio vidljiv dok analiza blockchain-a nije pokazala masovno prebacivanje tokena od strane velikih vlasnika, uključujući i novčanike povezane sa Justinom Sunom, ka centralizovanim berzama. Prema navodima protokola, napadač je proveo oko devet meseci akumulirajući veliku poziciju u THE tokenu na Thena tržištu, koristeći sredstva od 7.400 ETH povučenih sa Tornado Cash servisa.
Eksploatacija je izvedena tako što je napadač direktno donirao više od 36 miliona THE tokena vTHE ugovoru, zaobilazeći standardne provere limita i veštački povećavajući kurs razmene za oko 3,8 puta. Ovim je omogućeno postavljanje THE kao kolaterala i povlačenje pozajmica u drugim tokenima, dok je THE cena kratkoročno podignuta sa 0,26 dolara na skoro 0,56 dolara. Kada je napadač prodao THE, cena je pala za više od 17% tokom dana, što je izazvalo talas likvidacija. Procene govore da je ukupna vrednost izvučena pre likvidacija između 3,7 i 5,8 miliona dolara (400-620 miliona dinara), uključujući tokenizovani bitcoin, BNB i stablecoine.
Šteta je najvećim delom ograničena na THE token i, u manjoj meri, na CAKE. Nije zabeležen gubitak sredstava korisnika van pogođenih pool-ova. Kao odgovor, Venus je pauzirao THE pozajmice i povlačenja, postavio kolateralnu vrednost THE na nulu i pooštrio pravila za druge tržišne parove koji su označeni kao rizični, uključujući BCH, LTC i AAVE. Adresa napadača bila je ranije primećena od strane zajednice, ali nisu preduzete mere jer nije bilo formalnog kršenja pravila.
Venus je istakao izazove decentralizovanih protokola gde ne postoji mogućnost zamrzavanja ili blokiranja adresa samo na osnovu sumnje. Odluka o pokrivanju gubitaka iz risk fonda prepuštena je glasanju zajednice. Ovaj slučaj dolazi u trenutku kada tržišta, uključujući i Bitcoin koji je pao na 70.000 dolara, osećaju pritisak zbog makroekonomskih faktora i pada apetita prema riziku.