Dezentralisierte Kreditplattform Venus Protocol gab am Sonntag bekannt, dass im Kernpool ungewöhnliche Transaktionsaktivitäten im Zusammenhang mit dem Thena (THE)-Token-Fonds entdeckt wurden. Laut der neuesten Untersuchung von Venus’ Risikomanagement-Partner Allez Labs handelt es sich bei diesem Vorfall um einen sorgfältig geplanten Manipulationsangriff auf die Versorgungslimit-Mechanismen, der von der Planung bis zur Ausführung etwa neun Monate dauerte und letztlich einen Schaden von über 3,7 Millionen US-Dollar verursachte.
Analyse des gesamten Angriffsprozesses: Vier sorgfältig geplante Phasen
Die Untersuchung von Allez Labs offenbart die vollständige Funktionsweise des Angriffs, der in vier entscheidende Phasen unterteilt ist:
Erste Phase: Langsame Ansammlung des Tokens über neun Monate
Seit Juni 2025 sammelte der Angreifer schrittweise THE-Token an, bis er schließlich 84 % des Versorgungslimits erreichte, etwa 14,5 Millionen Token. Diese langsame Strategie verhinderte, dass das Plattform-Risikoüberwachungssystem Alarm schlug.
Zweite Phase: Direkte Überweisung zur Umgehung des Versorgungslimits
Der Angreifer vermied den normalen Einzahlungsprozess und transferierte die Token direkt in den Vertrags- smart contract, wodurch das Versorgungslimit vollständig umgangen wurde. Am Ende wurde eine Position von 53,2 Millionen THE aufgebaut, das entspricht dem 3,67-fachen des Versorgungslimits.
Dritte Phase: Manipulation des TWAP-Orakels
Durch die Ausnutzung der strukturellen Schwäche des THE-Token mit extrem geringer Liquidität auf der Blockchain manipulierte der Angreifer das TWAP (zeitgewichteter Durchschnittspreis)-Orakel durch rekursive Operationen und trieb den THE-Preis von etwa 0,27 USD auf rund 0,53 USD in die Höhe.
Vierte Phase: Überhöhte Sicherheiten und groß angelegte Kreditaufnahme
Aufgrund der künstlich erhöhten Bewertung der Sicherheiten nutzte der Angreifer 53,2 Millionen THE als Sicherheit, um verschiedene hochliquide Vermögenswerte zu leihen.
Details der gestohlenen Vermögenswerte und die Sofortmaßnahmen der Plattform
Die vom Angreifer während des Höhepunkts geliehenen Vermögenswerte:
- 6.670.000 CAKE (PancakeSwap-Token)
- 2.801 BNB (Binance Coin)
- 1.970 WBNB
- 1.580.000 USDC
- 20 BTCB (tokenisierte Bitcoin)
Venus Protocol hat sofort alle Kredit- und Abhebungsfunktionen für THE-Token ausgesetzt. Zudem wurden präventiv die Kredit- und Abhebungsfunktionen in hochkonzentrierten Liquiditätsmärkten wie BCH, LTC, UNI, AAVE, FIL und TWT pausiert. Andere Märkte laufen weiterhin normal.
Lehren aus der Sicherheitslücke: Systemische Schwachstellen bei Token mit geringer Liquidität
Der Angriff auf Venus Protocol zeigt mehrere systemische Risiken in DeFi-Kreditprotokollen auf:
- TWAP-Orakel bei Token mit niedriger Liquidität sind anfällig für Preismanipulationen durch kleine Operationen.
- Das Versorgungslimit ist nur dann sicher, wenn es gegen direkte Vertragsüberweisungen geschützt ist; andernfalls besteht eine technische Schwachstelle.
- Die neunmonatige langsame Ansammlung offenbart auch potenzielle Schwachstellen bei der Überwachung langfristiger Positionen.
Häufig gestellte Fragen
Was ist der „Supply Limit Attack“ bei Venus Protocol?
Das Versorgungslimit ist eine Sicherheitsfunktion, die die maximale Menge eines einzelnen Vermögenswerts als Sicherheit erlaubt. Bei diesem Angriff wurde das Limit durch direkte Überweisung in den Vertrag umgangen, wodurch die Position auf das 3,67-fache des Limits anwuchs. Durch die Manipulation des Orakels wurde der Wert der Sicherheiten künstlich erhöht, sodass mehr Vermögenswerte ausgeliehen werden konnten, als eigentlich zulässig.
Warum konnte der Angriff so lange unentdeckt bleiben?
Der Angreifer nutzte eine „Low and Slow“-Strategie, bei der er die Positionen über neun Monate langsam aufbaute, um keine Warnsignale auszulösen. Erst bei Erreichen von 84 % des Versorgungslimits wurde der Angriff ausgeführt. Diese Methode umgeht typische Schwellenwert-Überwachungen und zeigt, dass das Protokoll eine feinere Überwachung langfristiger Verhaltensweisen benötigt.
Welche Sofortmaßnahmen hat Venus Protocol ergriffen?
Venus Protocol hat sofort alle Kredit- und Abhebungsfunktionen für THE-Token gestoppt und präventiv die Funktionen in den Märkten mit hoher Liquiditätskonzentration (BCH, LTC, UNI, AAVE, FIL, TWT) ausgesetzt. Andere Märkte laufen weiterhin normal. Allez Labs und die Sicherheitspartner arbeiten an der Untersuchung und halten die Öffentlichkeit auf dem Laufenden.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
