Kurze Zusammenfassung
Am 15. März 2026 umging ein Angreifer die Angebotsgrenze (supply cap) des THE (Thena)-Marktes im Core Pool des Venus Protocol (BNB Chain), blähte eine Kollateralanlage auf das 3,67-fache des beabsichtigten Limits auf und entnahm geliehene Vermögenswerte. Frühe Medienberichte schätzten die Gesamtverluste auf 3,7 Mio. USD; unsere On-Chain-Analyse über alle drei Extraktionstransaktionen bestätigt ebenfalls 5,77 Mio. USD an insgesamt entnommenem Wert und 2,15 Mio. USD an schlechter Schuld des Protokolls [3].
Mehrere Analysen [1, 2, 3] und die eigene Aussage von Venus [5] haben den Angriffsmechanismus bereits seziert, einschließlich der Umgehung der Angebotsgrenze, des Spendevektors und des Geldflusses. Dieser Artikel greift diese Erkenntnisse nicht im Detail auf. Stattdessen konzentriert er sich darauf, was die vollständigen On-Chain-Daten über die Risikoannahmen preisgeben, auf denen Kreditprotokolle basieren, und welche Lehren die DeFi-Community aus diesem Vorfall ziehen kann.
Zwei Datenpunkte verdienen eine genauere Betrachtung. Erstens die vollständige P&L des Angreifers: Über neun Monate wurden ungefähr 9,16 Mio. USD für den Erwerb von THE und vTHE ausgegeben, 5,77 Mio. USD wurden von Venus entnommen, und der Angreifer liegt immer noch 4,15 Mio. USD im Minus auf der Kette. Zweitens der Liquidationsbericht: 254 verschiedene Bots konkurrierten über 8.048 Transaktionen, um die Position aufzulösen, dennoch sammelten sich 2,15 Mio. USD an schlechter Schuld an, da 53 Mio. THE nicht in einem Markt mit nur wenigen Millionen Dollar Tiefe verkauft werden konnten.
Diese Datenpunkte stellen eine gängige Annahme im DeFi-Kreditwesen in Frage: dass Überbesicherung plus wettbewerbsfähige Liquidationsmärkte die Protokolle solvent halten werden. In diesem Fall war die Position nominell 3,67-fach überbesichert und der Liquidationsmarkt war stark vertreten. Beides war nicht ausreichend, als der Kollaterale nicht über echte Liquidität verfügte.
Hintergrund
Angebotsgrenzen sind eine Standardrisikokontrolle in Kreditmärkten im Compound-Stil. Sie begrenzen, wie viel eines bestimmten Vermögenswerts als Sicherheit hinterlegt werden kann, und bieten eine Obergrenze für die Exposition des Protokolls gegenüber volatilen oder niedrig-liquiden Token. Venus setzte eine Angebotsgrenze von 14,5 Mio. THE für seinen THE-Markt fest, was die dünne On-Chain-Liquidität des Tokens widerspiegelt.
Hinter der Angebotsgrenze liegen zwei zusätzliche Sicherheitsebenen. Die auf Orakeln basierende Bewertung von Sicherheiten bestimmt, wie viel ein Kreditnehmer gegen seine Einlagen ziehen kann. Wenn eine Position unterbesichert wird, wird erwartet, dass ein wettbewerbsfähiger Liquidationsmarkt eingreift: Dritte-Parteien-Bots begleichen die Schulden und beschlagnahmen Sicherheiten zu einem Rabatt, wodurch das Protokoll solvent bleibt.
Diese dreischichtige Struktur (Expositionsgrenzen, Bewertung, Liquidation) bildet den Risikorahmen für die meisten Kreditprotokolle. Der Venus THE-Vorfall testete alle drei Ebenen gleichzeitig, und alle drei erwiesen sich als unzureichend. Die folgenden Abschnitte verfolgen, wie jede Ebene nacheinander durchbrochen wurde.
Der Angriff
Die Umgehung: Spendenangriff
Angebotsgrenzen in den meisten Compound-Forks beschränken nur den Mint-Pfad: die Standard-Einzahlungsfunktion, die die Grenze prüft, bevor vTokens ausgegeben werden. Sie berücksichtigen keine Token, die direkt an die Vertragsadresse übertragen werden.
Der Angreifer nutzte diese Lücke. Eine direkte ERC-20-Überweisung an den vTHE-Vertrag erhöht den zugrunde liegenden Token-Saldo des Vertrags, ohne neue vTokens zu prägen. Im Compound-Stil-Accounting bläht dies den exchangeRate zwischen vTokens und dem zugrunde liegenden Vermögenswert auf. Jeder bestehende vToken-Inhaber profitiert: Seine vTokens repräsentieren nun einen Anspruch auf mehr zugrunde liegende Token, was seinen effektiven Kollateralwert, wie vom Protokoll gesehen, erhöht.
Dies ist eine bekannte Schwachstellenklasse in Compound-Forks. Jedes Protokoll, das Angebotsgrenzen nur auf dem Mint-Pfad durchsetzt, ist anfällig.
Vorbereitung (Juni 2025 bis März 2026)
Der Angriff begann nicht am 15. März. Der Angreifer erhielt über Tornado Cash 7.400 ETH über eine Finanzierungsadresse (0x7a79...f234), hinterlegte die ETH als Sicherheit bei Aave und lieh sich 9,92 Mio. USD in Stablecoins (USDT, DAI, USDC). Diese Gelder wurden auf mehrere Wallets verteilt, um ab Juni 2025 THE zu kaufen, und bauten allmählich eine kombinierte Position auf, die am Morgen des Angriffs 84 % der Angebotsgrenze (ca. 12,2 Mio. THE) erreichte.
Diese neunmonatige Vorbereitungszeit war die ganze Zeit über auf der Kette sichtbar. Die wachsende Konzentration einer einzelnen Entität, die sich der Angebotsgrenze näherte, war ein erkennbares Risikosignal, das herkömmliche transaktionsbasierte Überwachung übersehen würde.
Der Angreifer operierte über mehrere Adressen, die alle auf eine einzige Tornado Cash-Finanzierungsquelle zurückzuführen waren:
| Adresse | Rolle |
|---|---|
| 0x7a79...f234 | Finanzierung: Erhielt 7.400 ETH von Tornado Cash, hinterlegt bei Aave, lieh sich 9,92 Mio. USD in Stablecoins |
| 0x43c7...2f82 | Angreifer EOA |
| 0x737b...a619 | Angriffskontrakt: spendete ~36,1 Mio. THE über transferFrom(), stellte 1,58 Mio. USDC als Sicherheit vorab bereit, lieh sich 4,63 Mio. THE für die Spende, führte die Spendenumgehung aus, erhielt geliehene Vermögenswerte. Liquidation um 12:04 UTC. |
| 0x1a35...6231 | Angreifer-Wallet: hinterlegte THE über den Mint-Pfad, hielt vTHE |
Ausführung (15. März, 11:00-12:42 UTC)
Die folgende Analyse basiert auf drei Angriffstransaktionen:
Um 11:00 UTC hielt der Angreifer 12,2 Mio. THE innerhalb des Protokolls, immer noch innerhalb der 14,5 Mio. Grenze. In den nächsten zwei Stunden führte er die Spendenumgehung und eine rekursive Hebelwirkungsschleife aus:
- Direkte Überweisung von
THE-Token an denvTHE-Vertrag (Umgehung der Angebotsgrenze) - Leihen von Vermögenswerten gegen die aufgeblähte Sicherheit (
CAKE,BNB,BTCB,USDC) - Verwendung geliehener Vermögenswerte zum Kauf weiterer
THEauf dem offenen Markt - Warten auf die Aktualisierung des TWAP-Orakels, um den höheren Preis widerzuspiegeln
- Wiederholung mit erhöhter Kreditkapazität
| Zeit (UTC) | THE hinterlegt |
% der Grenze | Status |
|---|---|---|---|
| 11:00 | 12,2 Mio. | 84% | Innerhalb der Grenze |
| 12:00 | 49,5 Mio. | 341% | Grenze umgangen |
| 12:42 | 53,2 Mio. | 367% | Spitzenposition |
Zeitdatenquelle: AllezLabs [1].
Da THE eine extrem dünne On-Chain-Liquidität hatte, verursachten selbst moderate Käufe signifikante Preiseinflüsse. Der aggregierte Marktpreis von THE stieg von ca. 0,27 USD auf über 0,53 USD (laut CoinMarketCap), wobei die DEX-Spotpreise auf einzelnen Trades aufgrund der dünnen Liquidität wahrscheinlich noch höher spitzten. Das TWAP-Orakel von Venus aktualisierte sich auf ca. 0,53 USD, was dem Angreifer mit jedem Zyklus zunehmend mehr Kreditkapazität verschaffte.
Das System bewertete diese Sicherheit mit etwa 30 Mio. USD. Diese Bewertung basierte auf Orakelpreisen, nicht darauf, was der Markt tatsächlich aufnehmen konnte. Die tatsächliche Markttiefe von THE war ein Bruchteil dieses Nennwerts.
Überdehnung und Zusammenbruch
Nach der Entnahme der ersten Runde geliehener Vermögenswerte hätte der Angreifer aufhören können. Stattdessen setzte er geliehene Gelder ein, um mehr THE zu kaufen und einen weiteren Preisanstieg zu erzwingen. Dies trieb den Gesundheitsfaktor auf ~1.
Sobald die Liquidation begann, landeten 53 Mio. THE in einem Markt ohne Tiefe. Der Preis von THE stürzte auf etwa 0,21 USD ab, weit unter dem Vorkrisenniveau von 0,27 USD. An diesem Punkt sollte die letzte Verteidigungslinie des Protokolls greifen: Dritte-Parteien-Liquidatoren, die eingreifen, um die Position aufzulösen und Verluste zu begrenzen.
Die Realität der Liquidation
Beim DeFi-Kreditwesen ist die Annahme einfach: Wenn Positionen ins Minus rutschen, greifen Dritte-Parteien-Liquidatoren ein, begleichen die Schulden, beschlagnahmen die Sicherheiten zu einem Rabatt und halten das Protokoll solvent. Der Venus THE-Vorfall brach diesen Mechanismus nicht. Er legte seine Grenzen offen.
Sie kamen. Es reichte nicht.
On-Chain-Liquidationsdaten (Quelle: Venus's Dune Dashboard [4], mit zusätzlicher Transaktionsanalyse) zeigen:
| Metrik | Wert |
|---|---|
Gesamte Liquidations-Transaktionen (vTHE, 15. März) |
8.048 |
| Eindeutige Liquidations-Aufrufer | 254 |
| Liquidations-Einstiegs-Vertrag | 0x0870...cf43 (Venus Core Pool Liquidator) |
| Gesamtbetrag der zurückgezahlten Schulden | ~14,2 Mio. USD |
| Verbleibende schlechte Schuld | 2,15 Mio. USD |
Eine erste Lektüre des Dune-Dashboards deutete darauf hin, dass der eigene Vertrag von Venus der einzige Liquidator war. Das war irreführend. 0x0870...cf43 ist der Core Pool Liquidator-Vertrag von Venus, ein erlaubnisfreier Einstiegspunkt, über den jeder externe Aufrufer Liquidationen durchführen kann. Die Abfrage der tatsächlichen Transaktionssender zeigt 254 verschiedene Adressen, die über 8.048 Transaktionen um Liquidationsmöglichkeiten konkurrierten. Der Liquidationsmarkt war stark vertreten.
Von den 8.048 vTHE-Liquidations-Transaktionen zielten 8.039 auf die Hauptposition des Angreifers (0x1a35); die restlichen 9 liquidierten vier nicht verwandte Nutzer mit kleinen vTHE-Beständen, die vom Preissturz betroffen waren.
Die Teilnahme führte nicht zur Erholung. Die Bots zahlten ungefähr 14,2 Mio. USD Schulden zurück (BNB, BTC, CAKE, USDC, WBNB) und erhielten im Gegenzug vTHE. Um einen Gewinn zu erzielen, mussten sie dieses THE auf dem offenen Markt verkaufen. Da 53 Mio. THE gerade in einen Markt mit nur wenigen Millionen Dollar Tiefe gestürzt waren, konnten die beschlagnahmten Sicherheiten nicht in stabilen Wert umgewandelt werden, ohne massives Slippage zu verursachen. Das Ergebnis: 2,15 Mio. USD Schulden konnten nicht gedeckt werden und wurden zu schlechter Schuld auf der Bilanz von Venus.
Zwei Positionen, zwei Ergebnisse
Der Angreifer verwaltete zwei Positionen mit unterschiedlichen Kollateraltypen [1]. Ihre Liquidationsergebnisse waren auffallend unterschiedlich:
| Adresse | Kollateral | Txs | Zurückgezahlte Schuld | Ergebnis |
| ---------------- henne. | -------- | ----- | ----------- | -------------------------------------------- |
| 0x1a35 (Angreifer-Wallet) | vTHE | 8.039 | ~14,2 Mio. USD | 2,15 Mio. USD schlechte Schuld (beschlagnahmtes THE illiquide) |
| 0x737b (Angriffskontrakt) | vUSDC | 603 | 729.000 USD | Saubere Erholung (beschlagnahmte 1,58 Mio. USDC) |
Die Position 0x737b wurde früh (12:04 UTC) liquidiert, da ihre Sicherheit 1,58 Mio. USDC betrug, während ihre Schuld in THE denominiert war, das schnell an Wert gewann. Als der Preis von THE während der Manipulationsphase stieg, überstieg der Wert der THE-Schuld von 0x737b ihre USDC-Sicherheit, was zur Liquidation führte. Dies war wahrscheinlich beabsichtigt: Der Zweck von 0x737b war es, THE für die Spendenumgehung zu leihen, und sobald diese Mission abgeschlossen war, war der Verlust der USDC-Sicherheit ein akzeptabler Preis. Aus Sicht von Venus war diese Liquidation sauber: USDC ist liquide und stabil, sodass das Protokoll mehr als seine Rückzahlung wiedererlangte.
Die Liquidation von 0x1a35 erzählt die wahre Geschichte. Ihre Sicherheit war THE selbst. 254 Bots konkurrierten über 8.039 Transaktionen, um sie zu liquidieren, aber das beschlagnahmte THE konnte nicht zu einem Wert verkauft werden, der auch nur annähernd dem im Orakel angegebenen Wert entsprach. Die Zeitachse zeigt die Dynamik:
| Stunde (UTC) | Txs | Zurückgezahlte Schuld | Phase |
|---|---|---|---|
| 12:00 | 3.416 | ~3,83 Mio. USD | THE-Preis stürzt ab, stärkstes Slippage |
| 13:00 | 4.626 | ~10,40 Mio. USD | Preis stabilisiert sich, Großteil der Liquidation |
Alle schlechten Schulden stammen aus dieser mit THE besicherten Position. Die Gesamtschuld von 0x1a35 betrug ungefähr 16,4 Mio. USD (zurückgezahlt + schlechte Schuld). Die Liquidatoren schafften es, etwa 87% davon abzudecken. Die verbleibenden ~13%, oder 2,15 Mio. USD, wurden zu Verlusten des Protokolls.
Anmerkung zur Dune-Bewertung: Das Venus Dune Dashboard [4] bewertet beschlagnahmte Sicherheiten anhand von täglichen Schnappschuss-Preisen aus seiner
daily_market_info-Tabelle. Da der Preis vonTHEintraday von ~0,53 USD auf 0,21 USD abstürzte, unterschätzt diese Methodik den Wert vonTHE, das während des früheren, preislich höheren Liquidationsfensters beschlagnahmt wurde, erheblich. Die tatsächliche schlechte Schuld, d. h. die ausstehende Schuld, die nach Abschluss aller Liquidationen nicht gedeckt werden konnte, beträgt etwa 2,15 Mio. USD [3], eine zuverlässigere Zahl als die rohe Dune USD-Lücke.
Dem Geld folgen
Die Liquidationsdaten zeigen, wie die Position aufgelöst wurde, beantworten aber nicht die Frage, wer tatsächlich von diesem Vorfall profitiert hat. Die Verfolgung des vollständigen Geldflusses liefert ein Bild, das der üblichen "Diebstahl"-Erzählung widerspricht.
Einige Medienberichte beschrieben dies als einen "3,7-Mio.-USD-Exploit", wahrscheinlich unter Zählung nur eines Teils der geliehenen Vermögenswerte. Frühe Analysen konzentrierten sich auf die mit THE besicherte Position (0x1a35), übersahen aber die separate USDC-besicherte Position des Angriffskontrakts (0x737b), was zu einer unvollständigen Abrechnung führte. On-Chain-Tracing über alle drei Extraktionstransaktionen ergibt insgesamt 5,77 Mio. USD.
Angreifer's On-Chain P&L
Kostenseite:
Die Finanzierungskette des Angreifers: 7.400 ETH über Tornado Cash erhalten, als Sicherheit bei Aave hinterlegt, 9,92 Mio. USD in Stablecoins (USDT, DAI, USDC) geliehen und auf mehrere Wallets verteilt, um THE und vTHE zu erwerben.
| Posten | Menge | USD-Wert | Anmerkungen |
|---|---|---|---|
| Aave-Sicherheit | 7.400 ETH |
~14 Mio. USD+ | Von Tornado Cash hinterlegt |
| Aave-Darlehen | USDT + DAI + USDC |
9,92 Mio. USD | Gesichert gegen ETH-Sicherheit |
THE-Erwerb |
~36,1 Mio. THE |
~6,49 Mio. USD | Durchschnittlicher Kaufpreis ~0,17 USD über 9 Monate |
vTHE-Erwerb |
~12,1 Mio. vTHE |
~2,67 Mio. USD | Gekauft und gehalten von 0x1a35 |
Die Gesamtausgaben (6,49 Mio. USD + 2,67 Mio. USD = 9,16 Mio. USD) machen den Großteil der 9,92 Mio. USD an Aave-Darlehen aus. Die Aave-Position (7.400 ETH Sicherheit, ~9,92 Mio. USD Schulden) bleibt offen; der Angreifer behält Zugriff auf die ETH abzüglich der ausstehenden Schulden.
Einnahmenseite (entnommen von Venus in 3 Transaktionen):
| Tx | vom Angriffskontrakt (0x737b) erhaltene Vermögenswerte | USD-Wert |
|---|---|---|
| 0x4f477e...5663f | 60 Mio. vUSDC + 913.858 CAKE + 1.972,53 WBNB |
4.189.131 USD |
| 0x4253a8...ca296 | 1.044.003 CAKE |
1.460.264 USD |
| 0xfd64d0...54808 | 95.164 CAKE |
124.910 USD |
| Gesamt | 2.053.025 CAKE + 1.972,53 WBNB + 60 Mio. vUSDC |
5.774.305 USD |
Netto On-Chain P&L: negativ. Der Angreifer lieh sich 9,92 Mio. USD von Aave und entnahm 5,77 Mio. USD von Venus. Beide Venus-Positionen (Kontrakt 0x737b und Wallet 0x1a35) wurden vollständig liquidiert, sodass kein Restwert auf der Kette verblieb. Die Lücke von 4,15 Mio. USD bleibt als ausstehende Aave-Schuld bestehen. Die ETH-Sicherheit des Angreifers von 7.400 ETH auf Aave (~14 Mio. USD+) kann diesen Verlust absorbieren, aber die On-Chain-Operation war isoliert betrachtet eindeutig unrentabel.
Protokollverluste
Nach Abschluss aller Liquidationen verblieb Venus mit ungefähr 2,15 Mio. USD an schlechter Schuld [3]:
| Vermögenswert | Menge | USD-Wert |
|---|---|---|
CAKE |
~1,18 Mio. | ~1,65 Mio. USD |
THE |
~1,84 Mio. | ~0,50 Mio. USD |
| Gesamte schlechte Schuld | ~2,15 Mio. USD |
Wertverteilung
| Partei | Netto P&L | Anmerkungen |
|---|---|---|
| Angreifer (On-Chain) | -4,15 Mio. USD | 9,92 Mio. USD geliehen, 5,77 Mio. USD entnommen, 4,15 Mio. USD ausstehende Aave-Schuld |
| Dritte-Parteien-Liquidatoren | Unbekannt | 254 Bots nahmen teil; P&L hängt von THE-Exit-Preisen ab |
| Venus Protocol | -2,15 Mio. USD | Schlechte Schuld nach Abschluss aller Liquidationen |
| Angreifer (CEX) | Unbekannt | Wahrscheinlich durch Perpetual-Positionen profitiert |
Bei den meisten DeFi-Exploits wird der "fehlende Wert" zwischen Protokollverlusten und Angreifergewinnen von Liquidatoren und Arbitragehändlern erfasst. Hier konkurrierten 254 Liquidationsbots um das beschlagnahmte THE, aber die zerstörte Liquidität des Tokens bedeutete, dass die Sicherheit nicht effizient in stabilen Wert umgewandelt werden konnte. Viel Wert wurde zerstört statt neu verteilt.
Wenn der Angreifer profitiert hat, ist der wahrscheinlichste Mechanismus ein off-chain Perpetual Futures-Positionen an zentralisierten Börsen: Long THE während der Pump-Phase (0,27 USD bis über 0,53 USD), dann Short THE vor der Liquidationskaskade (0,53 USD bis 0,21 USD nach der Liquidation) [2, 3]. Diese CEX-Aktivität kann nicht anhand von On-Chain-Daten überprüft werden. Das Muster der Nutzung von On-Chain-Manipulation als Loss Leader für Gewinne aus Off-Chain-Derivaten wurde in ähnlichen Fällen vermutet, bleibt aber aufgrund der Intransparenz zentralisierter Börsenaktivitäten schwer zu bestätigen. Da das Zusammenspiel von DeFi und CEX zunimmt und die Perpetual-Märkte für Long-Tail-Token expandieren, könnte diese Art von Cross-Venue-Angriff zu einem zunehmend häufigen Vektor werden.
Lehren: Drei Verteidigungslinien
Der Angriff nutzte eine bekannte Schwachstelle aus, verwendete eine lehrbuchmäßige Hebelwirkungsschleife und verursachte dennoch 2,15 Mio. USD an schlechter Schuld. Das wirkliche Versagen war nicht ein einzelner Mechanismus, sondern die kumulative Wirkung von Schwächen über den gesamten Risikostapel hinweg.
Erste Linie: Expositionsgrenzen
Die Angebotsgrenze von Venus beschränkte nur den Standard-mint-Pfad. Direkte Token-Überweisungen an den vToken-Vertrag umgingen sie vollständig. Jede Risikokontrolle, die auf Annahmen zur Buchhaltung basiert, muss diese Annahmen über alle zustandsverändernden Operationen hinweg validieren, nicht nur über den erwarteten Einzahlungsfluss.
Zweite Linie: Kollateralbewertung
Der Orakelpreis der Sicherheiten kann stark von dem abweichen, was Liquidatoren tatsächlich realisieren können [2]. Diese Position hatte eine Orakel-bewertete Sicherheit von etwa 30 Mio. USD gegenüber ~16 Mio. USD Schulden und produzierte dennoch 2,15 Mio. USD an schlechter Schuld, da 30 Mio. USD THE auf dem Papier nur einen Bruchteil dieses Wertes in einem Markt mit wenigen Millionen Dollar Tiefe realisieren konnten. Bei illiquiden Token bietet selbst ein Sicherheitenverhältnis von 3x keine wirkliche Sicherheitsmarge. Kreditprotokolle sollten eine liquiditätsbereinigte Kollateralbewertung einbeziehen, die Markttiefe, erwartetes Slippage und Konzentrationsrisiko berücksichtigt.
Dritte Linie: Liquidation
Das gesamte Kreditmodell geht davon aus, dass Liquidatoren eingreifen und das Protokoll entschädigen, wenn Positionen ins Minus geraten. Bei diesem Vorfall verarbeiteten 254 Liquidationsbots allein für die vTHE-Position 8.048 Transaktionen. Der Liquidationsmarkt war aktiv und wettbewerbsfähig. Es reichte trotzdem nicht aus: 2,15 Mio. USD an schlechter Schuld blieben bestehen. Das Problem war nicht ein Mangel an Liquidatoren, sondern ein Mangel an Liquidität. Als 53 Mio. THE in einen Markt mit nur wenigen Millionen Dollar Tiefe trafen, konnte kein noch so großer Bot-Wettbewerb die beschlagnahmte Sicherheit in ausreichend Wert umwandeln, um die ausstehenden Schulden zu decken. Protokolle können die Liquidation nicht als zuverlässigen Rückhalt betrachten, wenn der realisierbare Wert der Sicherheit stark vom Orakel-berichteten Wert abweicht.
Die Überwachungslücke
Die neunmonatige Akkumulationsphase war von Anfang an auf der Kette sichtbar: eine einzelne Entität, die sich der Angebotsgrenze näherte, zunehmende Konzentration in einem Vermögenswert mit geringer Liquidität, allmählicher Positionsaufbau über Monate hinweg. Venus hat eingeräumt, dass "einige Community-Mitglieder diese Adresse vor dem Exploit gemeldet haben", stellte jedoch fest, dass "die Adresse zu diesem Zeitpunkt vollständig innerhalb der Protokollgrenzen operierte" und dass als ein erlaubnisfreies Protokoll "wir Adressen nicht allein aufgrund von Verdacht einfrieren oder sperren können und sollten" [5]. Im Rahmen seiner Behebung erklärte Venus, dass es "On-Chain-Risikomonitoring-Mechanismen prüft, die anomale Akkumulationsmuster kennzeichnen und eine Überprüfung auf Governance-Ebene auslösen können" [5].
Dies weist auf eine kritische Fähigkeitslücke hin. Herkömmliche transaktionsbasierte Überwachung hätte diesen Angriff nicht aufdecken können: Keine einzelne Transaktion war bösartig, und zu keinem Zeitpunkt während des neunmonatigen Aufbaus wurde eine Regel gebrochen. Was benötigt wurde, ist eine Trenddetektion auf Positionsebene: Verfolgung der Entwicklung der Konzentration einer einzelnen Entität in einem Vermögenswert mit geringer Liquidität über die Zeit im Verhältnis zu Angebotsgrenzen, Markttiefe und Liquidationskapazität. Dies erfordert eine kontinuierliche Überwachungsinfrastruktur, die oberhalb der Transaktionsebene operiert und On-Chain-Zustandsänderungen über Adressen und Zeitfenster hinweg korreliert, um systemische Risiken aufzudecken, bevor sie sich materialisieren.
Referenzen
- [1] AllezLabs, "Venus Protocol THE Incident Timeline": https://x.com/AllezLabs/status/2033239532355858536
- [2] hklst4r, "Venus THE Attack Analysis": https://x.com/hklst4r/status/2033192855443808515
- [3] EmberCN, "Venus THE Attacker Fund Flow": https://x.com/EmberCN/status/2033204517467308144
- [4] Venus Protocol Liquidation Dashboard (Dune): https://dune.com/xvslove_team/venus-liquidations
- [5] Venus Protocol, "$THE Market Incident: What We Know So Far": https://x.com/VenusProtocol/status/2033471885259034989
