Platforma Venus Protocol, která funguje jako decentralizovaný protokol pro půjčování a výpůjčky digitálních aktiv, oznámila odhalení podezřelé aktivity v poolu tokenu THE. Podle dosud dostupných informací útočník zneužil mechanismus supply cap, tedy limit maximální nabídky aktiva v protokolu, a způsobil škody odhadované na více než 3,7 milionu dolarů. Incident znovu připomíná, že ani zavedené DeFi služby nejsou imunní vůči sofistikovaným útokům zaměřeným na likviditu, kolaterál a rizikové parametry protokolů.
Co se na Venus Protocol stalo
Venus Protocol uvedl, že zaznamenal neobvyklou obchodní aktivitu v likviditním poolu tokenu Thena THE, který je nativním aktivem stejnojmenné decentralizované finanční platformy. Podle vyjádření týmu se anomálie týkala zejména poolů spojených s tokeny CAKE a THE. V reakci na situaci protokol okamžitě pozastavil veškeré výpůjčky a výběry tokenu THE, aby zabránil dalšímu zneužití. Toto omezení má zůstat v platnosti do ukončení vyšetřování.
Podle Venus šlo o preventivní krok, který měl omezit šíření škod ještě v průběhu analýzy incidentu. Právě rychlost reakce bývá u DeFi protokolů klíčová, protože útočníci často pracují s velmi krátkým časovým oknem a přesouvají prostředky napříč více aktivy i platformami. V takových situacích může i několik minut rozhodovat o tom, zda budou ztráty omezené, nebo se výrazně prohloubí. Pozastavení výběrů a půjček tak v tomto případě představovalo standardní obranný mechanismus.
Jak fungoval takzvaný supply cap útok
Společnost Allez Labs, kterou Venus označuje za svého risk manažera, uvedla, že incident odpovídá modelu supply cap attack. Tento typ útoku je založen na manipulaci s limity nabídky aktiva v rámci půjčovacího protokolu. Útočník podle dostupných informací postupoval ve dvou fázích. Nejprve soustavně nashromáždil přibližně 84 % celkové tržní kapitalizace tokenu THE, čímž získal mimořádně silnou pozici v daném aktivu. Následně tuto koncentraci využil v rámci úvěrového útoku na samotný protokol.
Podstata problému spočívá v tom, že pokud útočník ovládne významnou část nabídky relativně méně likvidního tokenu, může deformovat jeho chování v poolu a využít jej jako kolaterál za podmínek, které už neodpovídají reálnému tržnímu riziku. V takové chvíli se z technicky správně nastaveného parametru může stát slabé místo. Supply cap má sice chránit protokol před nadměrnou expozicí vůči jednomu aktivu, avšak při vhodné kombinaci nízké likvidity, koncentrace tokenů a agresivní výpůjční strategie může být tento mechanismus obejit nebo zneužit. Právě to je podle dosavadních zjištění jádrem útoku na Venus.
Jaká aktiva byla z protokolu vypůjčena
Allez Labs uvedla, že útočník použil token THE jako zástavu a následně si z protokolu vypůjčil několik různých aktiv. Konkrétně mělo jít o 6,67 milionu tokenů CAKE, dále 1,58 milionu USDC, 2 801 BNB a také 20 BTC. Taková kombinace naznačuje, že cílem nebylo pouze vytěžit hodnotu z jednoho poolu, ale rozložit získané prostředky do více likvidnějších a snadněji přesunutelných aktiv. To je běžný postup u exploitů, jejichž cílem je rychle proměnit rizikový kolaterál za aktiva s vyšší využitelností.
Z pohledu bezpečnosti je důležité i to, že protokol následně dočasně omezil výběry a půjčky také u dalších tokenů s nižší likviditou. Tento krok ukazuje, že tým nechtěl podcenit možnost, že podobný princip by mohl zasáhnout i jiné trhy uvnitř platformy. V prostředí DeFi totiž bývá problém málokdy izolovaný jen na jedno aktivum, zvlášť pokud jde o sdílenou infrastrukturu rizikových parametrů. Odhad škod přesahující 3,7 milionu dolarů zveřejnil Wu Blockchain.
Dopad na token THE a reakce trhu
V době zveřejnění zprávy se token THE obchodoval přibližně za 0,2255 dolaru, což podle dat z CoinMarketCap znamenalo pokles o více než 17 % za posledních 24 hodin. Prudká cenová reakce není překvapivá. U tokenů spojených s bezpečnostním incidentem se velmi často projevuje kombinace panických prodejů, obav z dalšího odemykání likvidity a nejistoty kolem skutečného rozsahu škod. Pokud navíc trh získá dojem, že útočník kontroluje velkou část nabídky, může být tlak na cenu ještě výraznější.
Pokles ceny zároveň komplikuje samotné řešení incidentu. Pokud je totiž napadený token použit jako kolaterál, jeho oslabení může dál zhoršovat stabilitu pozic a vytvářet sekundární rizika pro věřitele i uživatele protokolu. V takových případech je zásadní transparentní komunikace týmu, rychlá revize rizikových parametrů a případně i koordinace s dalšími ekosystémovými partnery. Cointelegraph podle původní zprávy oslovil Venus Protocol s žádostí o komentář, ale do vydání článku odpověď neobdržel.
Proč je tento incident důležitý pro celý sektor DeFi
Případ Venus Protocol ukazuje, že bezpečnostní hrozby v decentralizovaných financích nejsou omezeny jen na chyby ve smart kontraktech v tradičním slova smyslu. Stále častěji jde o útoky, které kombinují ekonomickou manipulaci, práci s nízkou likviditou, špatně nastavené limity a tlak na orákly či kolaterální modely. To znamená, že ochrana protokolů už není pouze otázkou auditu kódu. Stejně důležité jsou správa rizik, limity expozice, monitoring likvidity a krizové postupy.
S rostoucí velikostí DeFi trhu roste i motivace útočníků hledat méně nápadné, ale velmi účinné cesty k odčerpání hodnoty. Útoky typu supply cap jsou nebezpečné právě tím, že mohou využívat legitimní funkce protokolu způsobem, který návrh systému původně nepředpokládal. To je rozdíl oproti jednodušším exploitům založeným na jediné programátorské chybě. V praxi jde o střet mezi finančním inženýrstvím na straně protokolu a finančním inženýrstvím na straně útočníka. Bezpečnost DeFi tak dnes znamená i obranu proti ekonomickým modelovým útokům.
Únor přinesl nižší ztráty, ale více sociálního inženýrství
Zpráva o útoku na Venus přichází krátce poté, co bezpečnostní firma PeckShield uvedla, že ztráty z kryptoměnových hacků v únoru klesly na zhruba 49 milionů dolarů. Šlo o nejnižší měsíční hodnotu za téměř rok. Na první pohled by se mohlo zdát, že se situace zlepšuje. Detailnější data však ukazují jiný trend. Zatímco objem ztrát z přímých hacků a exploitů klesl, přibylo phishingových útoků a podvodů založených na sociálním inženýrství.
Podle platformy Nominis mířila většina individuálních útoků na běžné uživatele prostřednictvím phishingu, škodlivých podpisů transakcí nebo takzvaného address poisoning. To znamená, že útočníci stále častěji necílí jen na samotné protokoly, ale i na lidský faktor. Falešné weby, které napodobují legitimní domény, mohou uživatele přimět k propojení peněženky nebo podepsání škodlivé transakce. Výsledkem může být ztráta privátních klíčů, schválení přístupu k tokenům nebo odčerpání prostředků bez nutnosti prolomit samotný blockchain.
Co si z útoku odnést
Pro investory i uživatele DeFi je incident na Venus Protocol dalším varováním, že výnos není nikdy oddělen od rizika. Vyšší atraktivita méně likvidních tokenů a specializovaných poolů často znamená i vyšší zranitelnost vůči manipulaci. Uživatelé by proto měli sledovat nejen výši výnosů, ale i kvalitu risk managementu, rychlost reakcí týmu, způsob nastavení kolaterálu a historickou odolnost protokolu. Bezpečnost v DeFi není daná jen decentralizací, ale také kvalitou návrhu systému.
Samotné protokoly pak budou muset dál posilovat obranu proti scénářům, které kombinují tržní koncentraci, nízkou likviditu a půjčovací mechanismy. To může zahrnovat přísnější limity, lepší monitoring neobvyklých pozic, konzervativnější práci s exotickými tokeny i rychlejší automatické nouzové brzdy. Útok na Venus Protocol je sice konkrétním případem jedné platformy, ale jeho význam je širší. Ukazuje, že další vývoj decentralizovaných financí bude záviset nejen na inovaci, ale i na tom, jak dobře se sektor naučí předcházet stále sofistikovanějším formám zneužití.
