За несколько дней в сетях BNB Smart Chain и Ethereum зафиксированы два инцидента с суммарным ущербом свыше $2.3 млн. В обоих случаях атакующие воспользовались не уязвимостями в основной логике протоколов, а ошибками на их периферии: в механике учёта залога и в проверке отправителя cross-chain сообщений.
Venus Protocol — $2.15 млн непокрытого долга
Ход инцидента
Дата: 15 марта 2026. Сеть: BNB Smart Chain.
Злоумышленник искусственно разогнал цену низколиквидного токена THE и использовал его как залог в Venus Protocol. Схема строилась итеративно:
1️⃣ Внести THE в протокол в качестве залога.
2️⃣ Занять под этот залог другие активы.
3️⃣ На заёмные средства купить ещё THE, подняв его цену.
4️⃣ Повторить цикл, наращивая позицию.
Когда позиция достигла критического размера и начались ликвидации, у Venus образовался непокрытый долг около $2.15 млн.
Почему это стало возможным
Проблема не в flash loan и не в поломке oracle. Атакующий смог обойти supply cap — лимит на объём залога, установленный протоколом для управления рисками. Он переводил THE напрямую в контракт протокола, минуя стандартный путь депозита. Из-за этого реальный объём залога превысил задуманный лимит.
Далее манипуляция ценой на тонком рынке THE дала протоколу завышенную оценку этого залога. Оба фактора вместе — обход supply cap и раздутая цена — создали условия для формирования непокрытого долга при ликвидациях.
Детали расследования: движение средств
На момент расследования средства остаются в атакующем кластере из двух адресов.
Основной адрес 0x1A35bD28EFD46CfC46c2136f878777D69ae16231 содержит 1,500,000 CAKE, 20 BTCB и 200 WBNB — около $3.88 млн в токенах, плюс 1.94 BNB.
Контракт-помощник 0x737bc98F1D34E19539C074B8Ad1169d5d45dA619 дополнительно хранит 1,972.53 WBNB и 16,093.32 CAKE — около $1.357 млн.
Итого по двум адресам на момент проверки: около $5.2 млн, или в токенах — 20 BTCB + ~1.516 млн CAKE + ~2,172.53 WBNB.
Votemarket — $175 тыс
Ход инцидента
Дата: 12 марта 2026. Сети: Ethereum, Arbitrum, Base.
Злоумышленник атаковал не core-контракты Votemarket, а периферийный контракт L1BlockOracleUpdater. Через него в oracle на Arbitrum и Base были поданы поддельные L1-данные через протокол LaPoste.
После подмены состояния oracle атакующий зарегистрировал фиктивные proof-данные о голосах и оформил claims на вознаграждения так, как будто они принадлежали ему.
Почему это стало возможным
В контракте L1BlockOracleUpdater содержалась ошибка в проверке отправителя cross-chain сообщения. Из-за этой ошибки сообщение из Ethereum проходило проверку даже при отправке с неавторизованного адреса.
Это позволило злоумышленнику через LaPoste подать в oracle поддельные данные, а затем на их основе незаконно получить rewards протокола.
Детали расследования: движение средств
Все похищенные средства были консолидированы на адресе 0xB40125d2e1b83A36Fde292f75922793e5f3F94fF в виде ETH в сети Ethereum.
Оттуда 0.467 ETH были направлены на биржу HitBTC. Оставшиеся ~75.35 ETH ушли в протокол приватности Railgun.
Заключение
Атакующие всё чаще ищут уязвимости не в основной логике протоколов, а на их периферии — в механиках учёта, вспомогательных контрактах, интеграциях с внешними системами.
В кейсе Venus supply cap как инструмент управления рисками оказался обойдён через нестандартный путь взаимодействия с контрактом. В кейсе Votemarket единственная ошибка в проверке отправителя открыла доступ к подмене данных всей oracle-системы.
Команда КоинКит продолжает мониторинг адресов, связанных с инцидентами.
