Venus Protocol が供給上限攻撃を受け、370 万ドルの損失

分散型融資プラットフォームのVenus Protocolは日曜日、コアプールにおいてThena（THE）トークンの資金プールに対する異常な取引活動を検知したと発表しました。Venusのリスク管理パートナーであるAllez Labsの最新調査によると、今回の事件は綿密に計画された供給上限の操作による操縦攻撃であり、企画から実行まで約9ヶ月を要し、最終的に370万ドルを超える損失をもたらしました。

攻撃の全過程分析：四段階の綿密な計画

Allez Labsの調査は、今回の攻撃の全体的な仕組みを明らかにし、四つの重要な段階に分かれています：

第一段階：9ヶ月にわたるトークンのゆっくりとした蓄積 2025年6月以降、攻撃者はTHEトークンをゆっくりと蓄積し、最終的に供給上限の84%、約1450万枚を保有するに至った。この緩やかな戦略により、プラットフォームのリスク警報を回避しました。

第二段階：供給上限を回避した直接送金 攻撃者は通常の預入手続きを経ず、直接コントラクトにトークンを送金し、供給上限の仕組みを完全に回避。最終的に5,320万枚のTHEポジションを構築し、これは供給上限の3.67倍に相当します。

第三段階：TWAP予言機の操作 THEトークンのオンチェーン流動性の低さという構造的弱点を利用し、攻撃者は再帰的操作を通じてTWAP（時間加重平均価格）予言機を操作し、THEの価格を約0.27ドルから約0.53ドルに押し上げました。

第四段階：過大な担保を用いた大量資産借入 高められた担保評価のもと、攻撃者は5,320万枚のTHEを担保にして、多種多様な高流動性資産を借り出しました。

盗難資産の詳細とプラットフォームの緊急対応策

攻撃者がピーク時に借り入れた資産は以下の通りです：

• 667万枚のCAKE（PancakeSwapのネイティブトークン）
• 2801枚のBNB（BNB Chainのネイティブトークン）
• 1970枚のWBNB
• 158万枚のUSDC
• 20枚のBTCB（トークン化されたビットコイン）

Venus Protocolは直ちにすべてのTHEトークンの借入と引き出しを停止し、予防措置として、BCH、LTC、UNI、AAVE、FIL、TWTなどの流動性が集中している市場の借入と引き出しも停止しました。その他のVenus市場は影響を受けず、正常に運用されています。

安全性の深層的な教訓：流動性低いトークンのシステム的脆弱性

今回のVenus Protocolへの攻撃は、DeFiの借入・貸出プロトコルにおける複数のシステムリスクを浮き彫りにしました。流動性の低いトークンに対するTWAP予言機は、小規模な操作によって価格を容易に操作できること、供給上限の仕組みがコントラクトへの直接送金を防止しない場合、技術的な抜け穴となり得ること、そして長期にわたるゆっくりとした蓄積戦略は、長期保有行動の監視における潜在的な盲点を露呈しています。

よくある質問

Q1：Venus Protocolの「供給上限攻撃」とは何ですか？
供給上限は、特定の資産を担保として使用できる最大保有量を制限する安全機構です。今回の攻撃者はコントラクトに直接送金することでこの仕組みを回避し、保有量を供給上限の3.67倍にまで拡大させ、その後予言機を操作して担保評価を膨らませ、信用枠を超えた資産を借り出しました。

Q2：なぜこの攻撃は長期間にわたり発覚しなかったのですか？
攻撃者は「Low and Slow（低速かつ長期的）」の蓄積戦略を採用し、警報を引き起こさない範囲で保有量をコントロールし続け、供給上限の84%に達した時点で攻撃を実行しました。この方法は閾値監視に基づく一般的な回避手法であり、プロトコルの長期行動監視能力の不足を示しています。

Q3：Venus Protocolはどのような緊急対応を行いましたか？
Venus Protocolは直ちにTHEの全ての借入と引き出しを停止し、流動性が集中しているBCH、LTC、UNI、AAVE、FIL、TWTの市場の関連機能も予防的に停止しました。その他の市場は正常に運用されており、Allez Labsとセキュリティパートナーは調査と情報更新を継続しています。