Tinjauan Ulang Serangan Venus THE: Bagaimana Mendapatkan Keuntungan dalam Jendela Sesaat?

Judul asli: 《复盘我如何在 Venus THE 攻击中获利》

Penulis asli: Weilin (William) Li

Sumber asli:

Repost: Huoxing Caijing

Dua jam yang lalu, THE di VenuV mengalami serangan manipulasi harga yang sangat khas seperti Mango Markets.

Pelaku serangan menargetkan THE yang memiliki likuiditas rendah:

· Menyimpan THE sebagai jaminan

· Meminjam aset lain

· Menggunakan aset yang dipinjam untuk membeli THE lagi

· Mengerek harga THE ke atas

· Setelah waktu rata-rata oracle diperbarui, mendapatkan nilai jaminan yang lebih tinggi, lalu mengulangi proses pinjam-meminjam.

Karena likuiditas THE di chain sangat buruk, harga dari $0.27 secara keras didorong mendekati $5. Oracle kemudian memperbarui harga ke 0.5 (rata-rata waktu), sehingga pelaku serangan mendapatkan ruang untuk memperbesar leverage.

Yang lebih penting, THE sendiri memiliki batas pasokan (supply cap).

Biasanya, ini akan membatasi pelaku serangan untuk memperbesar posisi. Tapi dia menggunakan trik lama yang umum dipakai: serangan donasi fork Compound. Yaitu, setelah menyetor banyak THE, langsung mentransfer THE ke kontrak vTHE, melalui metode “donasi” untuk terus menaikkan nilai jaminan yang dikenali sistem, melampaui batas maksimum.

Transaksi serangan: 0x4f477e941c12bbf32a58dc12db7bb0cb4d31d41ff25b2457e6af3c15d7f5663f

Setelah gelombang serangan pertama, harga THE stabil di sekitar $0.5.

Sebenarnya, sampai di titik ini, pelaku serangan sudah bisa pergi dengan aset pinjamannya. Tapi dia jelas ingin mengeruk keuntungan lebih besar lagi, jadi terus memasukkan aset pinjamannya untuk membeli THE, berusaha mengulang lagi.

Masalahnya: meskipun harga sangat tinggi, tekanan jual di pasar juga mulai sangat ekstrem. Pelaku serangan terus membeli, tapi harga sudah tidak bisa didorong lagi. Hingga akhirnya, dia hampir kehabisan kapasitas jaminannya, rasio kesehatan posisi mendekati 1, hampir terkena likuidasi.

Saat itu, situasinya sudah sangat jelas: jaminan yang dimiliki pelaku serangan, termasuk aset yang sudah disiapkan sebelumnya dan THE yang terus dibeli selama serangan, bernilai sekitar 30 juta dolar. Tapi inti masalahnya adalah—tidak ada likuiditas yang cukup untuk menampungnya. Begitu proses likuidasi dimulai, THE ini akan dijatuhkan ke pasar secara gila-gilaan. Dan di pasar, tidak ada yang mau membeli dalam jumlah besar dengan harga yang tidak realistis.

Lalu, apa yang saya lakukan?

Saat proses likuidasi dimulai, saya langsung membuka posisi short THE. Posisi ini sebenarnya bisa menggunakan leverage yang lebih tinggi.

Alasannya sangat sederhana: valuasi tinggi, likuiditas rendah, tekanan jual pasif besar-besaran, tidak ada yang mau menampung.

Hasilnya pun tidak mengejutkan: setelah likuidasi selesai, harga THE kembali ke sekitar $0.24, bahkan lebih rendah dari harga sebelum serangan, karena pemilik awal juga melakukan penjualan selama proses.

Di sini, saya menutup posisi short dan mendapatkan keuntungan sekitar 15 ribu dolar.

Akhirnya, Venus meninggalkan kerugian sekitar 2 juta dolar.

Soal berapa banyak keuntungan yang didapat pelaku serangan, saya belum menghitung secara lengkap; tapi dari operasi beberapa alamat yang terlibat, kemungkinan besar mereka hampir tidak mendapatkan apa-apa, bahkan mungkin merugikan diri sendiri. Tapi pelaku serangan tetap bisa saja memiliki posisi perpetual di luar (off-chain) untuk mendapatkan keuntungan, seperti yang kita lakukan.

Alamat yang mengalami kerugian sekitar 2 juta dolar di Venus:

Peristiwa ini sekali lagi menunjukkan:

Dalam DeFi, “nilai jaminan nominal” tidak sama dengan “nilai yang bisa dilikuidasi”. Ketika jaminan sendiri tidak likuid, sistem melihatnya sebagai 30 juta dolar, padahal pasar yang sebenarnya bisa direalisasikan mungkin jauh lebih kecil.

Pada tahun 2023, saya pernah menulis makalah berjudul Unmasking Role-Play Attack Strategies in Exploiting Decentralized Finance (DeFi) Systems, yang memodelkan serangan ini secara matematis secara rinci. Bagi yang berminat, bisa merujuk ke sana.