Venus Protocol, sebuah platform peminjaman di BNB Chain, mengalami eksploitasi terbaru setelah penyerang memanipulasi likuiditas token untuk menyalahgunakan mekanisme pinjaman kilat (flash loan).
Insiden ini menguras sekitar $3,6 juta dan memaksa protokol untuk membatasi perdagangan pada beberapa aset.
Bagaimana eksploitasi terjadi
Analisis pasca-insiden menunjukkan bahwa operasi ini telah berlangsung selama berbulan-bulan. Penyerang menghabiskan periode itu untuk mengakumulasi THE, token asli dari Thena.
Secara total, sekitar 14,5 juta THE—sekitar 84% dari suplai sirkulasi token—dibeli dari pasar terbuka.
Penyerang kemudian mentransfer token-token tersebut ke dalam sistem peminjaman Venus Protocol, melewati alur deposit yang biasa. Manuver ini memungkinkan penyerang untuk membangun posisi buatan yang jauh melebihi suplai sirkulasi aktual token.
Catatan menunjukkan bahwa siklus eksploitasi pada akhirnya melibatkan sekitar 53,2 juta THE, kira-kira 367% lebih tinggi dari suplai asli aset tersebut.
Strategi ini mengandalkan likuiditas on-chain token yang tipis. Penyerang berulang kali menyetor THE sebagai jaminan, meminjam aset lain terhadapnya, dan menggunakan dana pinjaman tersebut untuk membeli lebih banyak THE.
Setiap siklus mendorong harga oracle token lebih tinggi, menciptakan penampakan permintaan yang meningkat dan menggelembungkan nilai jaminan.
Dengan setiap putaran, penyerang meningkatkan ukuran pinjaman dan akhirnya mendorong sistem melampaui batasnya.
Eksploitasi pada akhirnya menguras sekitar $3,6 juta dalam aset. Dana yang dicuri termasuk 6,67 juta PancakeSwap, 2.801 BNB, 1,97K WBNB, 1,58 juta USD Coin, dan 20 Bitcoin BEP2.
Tanggapan Protokol
Sebagai tanggapan, tim di balik Venus Protocol menangguhkan pasar THE dan memperkenalkan persyaratan jaminan yang lebih ketat untuk beberapa aset yang dianggap berisiko tinggi.
Kerangka kerja yang direvisi menaikkan ambang batas jaminan dan membatasi eksposur terhadap token dengan likuiditas lemah atau kepemilikan yang terkonsentrasi.
Di bawah kondisi baru, token yang digunakan sebagai jaminan harus memenuhi standar yang lebih ketat terkait kapitalisasi pasar, volume perdagangan, dan distribusi suplai.
Enam aset ditandai di bawah kriteria yang diperbarui, termasuk Bitcoin Cash [BCH], Litecoin [LTC], Uniswap [UNI], Aave [AAVE], Filecoin [FIL], dan Trust Wallet Token [TWT].
Bukan insiden keamanan pertama
Namun, ini bukanlah insiden keamanan pertama yang melibatkan protokol ini.
Pada September 2025, Venus Protocol melaporkan kerugian sekitar $27 juta setelah serangan phishing membahayakan akses ke pengontrol pool intinya.
Penyerang menggunakan alamat kontrak jahat yang memanipulasi sistem. Eksploitasi itu memungkinkan akses ke aset iToken seperti vUSDC dan vETH.
Meski begitu, Total Value Locked (TVL) platform tetap relatif stabil.
Data menunjukkan TVL bertahan di sekitar $1,47 miliar dalam beberapa hari terakhir, tanpa penurunan tajam segera setelah eksploitasi terbaru.
Ringkasan Akhir
- Venus Protocol menderita eksploitasi $3,6 juta setelah penyerang memanipulasi likuiditas token THE dan menyalahgunakan mekanisme pinjaman kilat.
- Penyerang mengakumulasi 14,5 juta THE (84% dari suplai sirkulasi) sebelum memulai eksploitasi.
