Platform pinjaman terdesentralisasi Venus Protocol pada hari Minggu mengumumkan bahwa mereka mendeteksi aktivitas transaksi yang mencurigakan terhadap kolam dana token Thena (THE) di dalam pool inti. Berdasarkan penyelidikan terbaru dari mitra manajemen risiko Venus, Allez Labs, kejadian ini merupakan serangan manipulasi batas pasokan yang dirancang secara matang. Dari perencanaan hingga pelaksanaan, berlangsung sekitar 9 bulan, dan akhirnya menyebabkan kerugian lebih dari 3,7 juta dolar AS.
Analisis lengkap proses serangan: empat tahap perencanaan matang
Penyelidikan Allez Labs mengungkapkan logika operasional lengkap dari serangan ini, yang terbagi menjadi empat tahap kunci:
Tahap pertama: Akumulasi token secara perlahan selama 9 bulan Sejak Juni 2025, penyerang secara perlahan mengakumulasi token THE, hingga akhirnya memegang 84% dari batas pasokan, sekitar 14,5 juta token. Strategi perlahan ini menghindari pemicu alarm risiko platform.
Tahap kedua: Transfer langsung melewati batas pasokan Penyerang tidak melakukan deposit melalui proses normal, melainkan langsung mentransfer token ke kontrak protokol, sepenuhnya menghindari mekanisme batas pasokan. Akibatnya, mereka membangun posisi sebesar 53,2 juta THE, setara dengan 3,67 kali lipat dari batas pasokan.
Tahap ketiga: Manipulasi oracle TWAP (Time-Weighted Average Price) Dengan memanfaatkan kelemahan struktural token THE yang memiliki likuiditas on-chain sangat rendah, penyerang melakukan operasi rekursif untuk memanipulasi oracle TWAP, sehingga harga THE dari sekitar $0,27 meningkat menjadi sekitar $0,53.
Tahap keempat: Menggunakan jaminan yang dipompa secara artifisial untuk meminjam aset secara besar-besaran Dengan nilai jaminan yang dinaikkan secara buatan, penyerang meminjam berbagai aset likuid tinggi dengan menggunakan 53,2 juta THE sebagai jaminan.
Rincian aset yang dicuri dan langkah tanggap darurat platform
Aset yang dipinjamkan oleh penyerang selama puncak serangan:
- 6.670.000 token CAKE (token asli PancakeSwap)
- 2.801 token BNB (token asli BNB Chain)
- 1.970 token WBNB
- 1.580.000 token USDC
- 20 token BTCB (tokenisasi Bitcoin)
Venus Protocol segera menghentikan semua aktivitas pinjaman dan penarikan THE token, serta secara preventif menghentikan fungsi pinjaman dan penarikan di pasar dengan likuiditas sangat terkonsentrasi (termasuk BCH, LTC, UNI, AAVE, FIL, dan TWT). Pasar Venus lainnya tetap beroperasi normal.
Pelajaran mendalam dari kerentanan keamanan: kerentanan sistemik token dengan likuiditas rendah
Serangan terhadap Venus Protocol ini mengungkapkan beberapa risiko sistemik dalam protokol pinjaman DeFi: oracle TWAP untuk token dengan likuiditas rendah sangat rentan terhadap pengaruh kecil yang dapat memanipulasi harga; mekanisme batas pasokan yang tidak dilindungi dari transfer kontrak langsung memiliki celah teknis yang dapat dilanggar; dan strategi akumulasi perlahan selama 9 bulan menunjukkan adanya potensi kelemahan dalam pengawasan perilaku kepemilikan jangka panjang dalam protokol.
Pertanyaan umum
Apa itu “serangan batas pasokan” di Venus Protocol?
Batas pasokan adalah mekanisme keamanan yang dirancang untuk membatasi jumlah maksimum aset tertentu yang dapat digunakan sebagai jaminan. Dalam serangan ini, penyerang melewati mekanisme tersebut dengan mentransfer token langsung ke kontrak, sehingga posisi mereka mencapai 3,67 kali lipat dari batas pasokan, lalu memanipulasi oracle untuk memperbesar nilai jaminan dan meminjam aset di luar batas kredit yang seharusnya.
Mengapa serangan ini bisa direncanakan selama begitu lama tanpa terdeteksi?
Penyerang menggunakan strategi akumulasi perlahan selama 9 bulan yang disebut “Low and Slow”, mengendalikan posisi mereka agar tidak memicu alarm, sampai mencapai 84% dari batas pasokan sebelum melancarkan serangan. Pendekatan ini adalah cara umum untuk menghindari mekanisme pengawasan berbasis ambang batas, menunjukkan bahwa protokol perlu meningkatkan kemampuan pengawasan perilaku jangka panjang secara lebih cermat.
Langkah tanggap darurat apa yang diambil oleh Venus Protocol?
Venus Protocol segera menghentikan seluruh aktivitas pinjaman dan penarikan THE token, serta secara preventif menghentikan fungsi pinjaman dan penarikan di pasar dengan likuiditas tinggi seperti BCH, LTC, UNI, AAVE, FIL, dan TWT. Pasar lainnya tetap beroperasi normal. Allez Labs bersama mitra keamanan mereka terus melakukan penyelidikan dan memperbarui perkembangan situasi.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
ZachXBT Peringatkan Pengguna Agar Tidak Menggunakan ATM Bitcoin Depot dengan Markup Bitcoin Lebih dari 44%
ZachXBT memperingatkan bahwa ATM Bitcoin Depot mengenakan premi yang sangat tinggi—$25k fiat sebesar $108k/BTC dibanding ~$75k harga pasar (sekitar 44%), yang menyebabkan ~ kehilangan $7.5k pada 0.232 BTC; juga mencatat pelanggaran keamanan senilai $3.26M.
Artikel ini merangkum peringatan ZachXBT tentang praktik penetapan harga Bitcoin Depot dan pelanggaran keamanan terbaru, dengan menyoroti risiko dari tarif yang dibesar-besarkan dan kelalaian keamanan bagi pengguna.
GateNews1jam yang lalu
Protokol Privasi Umbra Menutup Frontend untuk Menghalangi Penyerang dari Pencucian Dana Kelp Hasil Curian
Pesan Gate News, 22 April — Protokol privasi Umbra telah menutup situs web frontend-nya untuk mencegah penyerang menggunakan protokol tersebut guna memindahkan dana hasil pencurian setelah serangan terbaru, termasuk pelanggaran protokol Kelp yang menyebabkan kerugian melebihi $280 juta. Sekitar $800.000 dana curian telah dipindahkan melalui
GateNews2jam yang lalu
SlowMist 23pds Peringatan: Grup Lazarus merilis paket alat macOS baru yang menargetkan mata uang kripto
Ketua Keamanan Informasi SlowMist, 23pds, mengumumkan peringatan pada 22 April, yang menyatakan bahwa kelompok peretas Korea Utara Lazarus Group telah merilis toolkit malware asli macOS yang baru bernama “Mach-O Man”, yang secara khusus menargetkan industri mata uang kripto dan para eksekutif perusahaan bernilai tinggi.
MarketWhisper4jam yang lalu
Penyerang Venus Protocol memindahkan 2301 ETH, mengalir ke Tornado Cash untuk dicuci
Berdasarkan pemantauan analis on-chain Ai Bibi pada 22 April, penyerang Venus Protocol mentransfer 2.301 ETH (sekitar 5,32 juta dolar AS) ke alamat 0xa21…23A7f dari 11 jam yang lalu, kemudian secara bertahap memindahkan dana tersebut ke mixer kripto Tornado Cash untuk melakukan pencucian; hingga saat pemantauan, penyerang masih memegang sekitar 17,45 juta dolar AS dalam bentuk ETH di rantai.
MarketWhisper6jam yang lalu
Eksposur kerentanan zero-day CometBFT, 8 miliar dolar AS node jaringan Cosmos menghadapi risiko deadlock
Peneliti keamanan Doyeon Park pada 21 April mengungkapkan secara publik adanya kerentanan zero-day tingkat kritis dengan skor CVSS 7.1 dalam lapisan konsensus Cosmos, CometBFT, yang berpotensi menyebabkan node diserang oleh rekan sejawat (peer) berbahaya pada tahap sinkronisasi blok (BlockSync) sehingga mengalami kebuntuan (deadlock), sehingga berdampak pada jaringan yang melindungi lebih dari 8 miliar dolar AS aset.
MarketWhisper6jam yang lalu
