Le jeton de gouvernance de Vénus ($XVS), un $BNB Le marché monétaire en chaîne, avec une valeur totale bloquée de plus de 1,4 milliard de dollars, a chuté de plus de 9 % en 24 heures après un exploit qui lui a laissé 2,15 millions de dollars de créances irrécouvrables.
Cette baisse intervient au milieu d’une large vente d’actifs à risque qui a vu l’indice plus large CoinDesk 20 (CD20) perdre 4,6 % de sa valeur au cours de la même période.
L’exploit, survenu le 16 mars, ne semble pas avoir d’impact $XVS jusqu’à ce que l’analyse montre que les principaux détenteurs, y compris les portefeuilles liés à Justin Sun, transféraient de grandes sommes vers les bourses.
Venus a déclaré que l’exploit, sur son marché de Thena, avait laissé environ 2,15 millions de dollars de créances irrécouvrables ou de prêts que le système ne pouvait plus récupérer.
L’attaquant, selon le protocole, a passé environ neuf mois à accumuler une position importante sur le jeton THE de Thena. Selon PeckShield, cette accumulation a été financée par 7 400 ETH retirés du protocole de mélange Tornado Cash.
L’attaquant a ensuite fait don de plus de 36 millions de THE directement au contrat vTHE, sautant les contrôles de plafond normaux et augmentant le taux de change du marché d’environ 3,8 fois. Selon Venus, la faille dans le code qui permettait à l’attaquant d’ignorer ces vérifications est en train d’être comblée.
Avec cette valeur papier plus élevée, l’attaquant a déposé THE comme garantie, emprunté d’autres actifs et acheté davantage de THE sur un marché restreint, selon Venus.
L’achat a contribué à faire passer THE d’environ 0,26 $ à près de 0,56 $. Venus a déclaré qu’il ne s’agissait pas d’une attaque de prêt flash, que ses oracles continuaient de fonctionner et que Venus Flux n’était pas affecté.
Lorsque l’attaquant a ensuite vendu THE, le prix a chuté de plus de 17 % en moins d’une journée et des liquidations ont suivi. L’analyse estime la valeur extraite avant les liquidations entre 3,7 et 5,8 millions de dollars, avec des actifs comprenant du bitcoin tokenisé, $BNBet les pièces stables sont prises.
Les dégâts se sont majoritairement limités au jeton THE et, dans une moindre mesure, au CAKE. Il a également déclaré qu’aucun fonds d’utilisateur n’avait été perdu en dehors des pools concernés.
Le protocole a suspendu les emprunts et les retraits de THE, réduit la valeur de la garantie à zéro et renforcé les règles sur d’autres marchés identifiés comme à risque en réponse à l’incident. Les marchés à risque comprennent ceux des CEPRB457,13 $, SLD55,39 $aave AAVE114,99 $entre autres.
L’adresse attaquante avait été signalée par la communauté avant l’incident. Vénus n’a pas agi car « aucune règle n’a été enfreinte et aucun exploit n’a eu lieu », indique-t-il.
« Vénus est un protocole décentralisé. En tant que protocole sans autorisation, nous ne pouvons et ne devons pas geler ou mettre sur liste noire des adresses sur la seule base de soupçons », a écrit le protocole sur les réseaux sociaux. « C’est une tension inhérente à DeFi, et que nous prenons au sérieux. »
La gouvernance devrait décider comment couvrir la perte via le fonds de risque de Venus.
