ヴィーナスプロトコルに攻撃──THE価格を2倍に引き上げ複数資産流出

暗号資産（仮想通貨）レンディングサービスを展開するヴィーナスプロトコルは16日、BNBチェーン上のコアプールが不正攻撃を受けたことを明らかにした。当初はTHETHEおよびCAKECAKEのみへの影響が示唆されていたが、その後の調査で被害の全容が徐々に明らかになってきている。

9ヶ月かけた周到な準備、攻撃者はTHE預け入れ上限の84%を段階的に蓄積

ヴィーナスプロトコルのリスクマネージャーであるアレーラボの報告によると、攻撃者は2025年6月から9ヶ月にわたり、THEの預け入れ上限の84%にあたる1,450万THEを時間をかけて少しずつ蓄積していたという。

その後、攻撃者は攻撃当日に通常の入金フローを迂回。プロトコルへ直接トークンを送り込む手法で制限をすり抜け、最終的に上限の3.67倍にあたる5,320万THEのポジションを作り上げた。

さらに攻撃者は、THEのオンチェーン上の流動性が低いことを利用し、「THEを預ける→資産を借りる→さらにTHEを買い増す→価格指標の更新を待つ→担保としての評価額を引き上げる」という操作を繰り返したという。

この一連の動きにより、THEの価格指標は約0.27ドルから約0.53ドルまで押し上げられ、ピーク時には667万CAKE、2,801BNB、1,970WBNB、158万USDC、20BTCBという多くの資産が引き出されたとアレーラボは指摘している。執筆現在、THE価格は約0.208ドルまで下落している状況だ。

4つのリスク基準で停止マーケットを選定、追加検討を経て対象マーケット拡大

こうした事態を受け、ヴィーナスプロトコルはTHEマーケットを停止。これに加え、担保の集中リスクが高いとしてBCHBCH、LTCLTC、UNIUNI、AAVEAAVE、FILFIL、TWTTWTの6つのマーケットの担保係数を即時ゼロに引き下げる措置を講じた。

対象となったのは、時価総額20億ドル未満、24時間取引量1億ドル未満、DEX TVLが4,000万ドル未満、かつ単一ユーザーの担保集中度が60%を超えるという4つの条件をすべて満たすマーケットだ。さらに、その後の追加検討を経て、lisUSDの担保係数もゼロに設定することも決定している。

ヴィーナスプロトコルによると、現時点でその他のマーケットはいずれも影響を受けておらず、通常通りの運営が続いているという。同プロトコルは調査終了後、価格指標や預け入れ上限の仕組みの強化策を盛り込んだ詳細な事後報告を公開するとしている。

関連：ヴィーナスプロトコル、フィッシング攻撃から全面復旧──被害額1,350万ドルも回収済み
関連：Truebit、スマートコントラクト攻撃で42億円相当のETH流出──TRUは99.9%暴落