Venus Protocol（ビーナス・プロトコル）、BNBチェーンで370万ドルのフラッシュローン攻撃を受ける

Venus Protocolがフラッシュローン攻撃を受ける

分散型貸付プラットフォームであるVenus Protocol（ビーナス・プロトコル）は、BNBチェーン上のコアプールでフラッシュローン攻撃を受けた疑いがあり、370万ドル以上の損失が発生したと報じられている。

Venus Protocolは、DeFi（分散型金融）プロジェクトの流動性の低いトークンであるTHENAを標的としたフラッシュローン攻撃の疑いのある攻撃を受けた。攻撃者はTHEを担保として資産を借り入れ、約370万ドルに相当するビットコイン（Bitcoin/BTC※BTCB経由）20BTC、パンケーキスワップ（PancakeSwap/CAKE）150万CAKE、バイナンスコイン（BinanceCoin/BNB）200BNBを盗み出したとのこと。

数千万個のTHEトークンが担保として使用され、清算が開始された事により、THEの価格は24時間で17%以上下落。オンチェーンデータによると、攻撃者はVenus Protocol上で大量のTHENAを担保として他の資産を借り入れていた事がわかった。

Venus Protocolへの攻撃発生の経緯

ブロックチェーンデータによると、攻撃者は0x1a35…6231で始まるアドレスを使用してシステムを悪用していた。

この戦略は数カ月も前から始まっており、攻撃者は2025年6月から9カ月かけてTHEの供給上限の約84%（1,450万トークン）を徐々に蓄積している。真の攻撃は、攻撃者が通常の入金プロセスを回避し、トークンをプロトコルコントラクトに直接送金した際に発生。これにより、攻撃者は供給上限を超過。最終的に、許容上限の約3.7倍にあたる5,320万THEという巨額の担保ポジションを構築した。

その後、膨大な担保を利用し、攻撃者はラップドビットコイン（Wrapped Bitcoin/WBTC）で約20BTC、約150万CAKE、約200BNB、USDコイン（USDCoin/USDC）で158万USDCもの大量の資産借り入れ始めた。

攻撃者は、攻撃を最大化するため、THEを入金し、資産を借り入れ、さらにTHEを購入し、TWAPオラクル（Time-Weighted Average Price Oracle：時間加重平均価格）の価格更新を待って担保評価額を上昇させるというループ戦略を繰り返し実行した。

Venus Protocolによる対応

今回の事件を受け、Venus Protocolチームは、さらなる不正利用を防ぐため、すべての借入と出金を一時停止するという予防措置を発表した。

THEの借入と出金は一時的に停止され、ビットコインキャッシュ（BitcoinCash/BCH）、イトコイン（Litecoin/LTC）、ユニスワップ（Uniswap/UNI）、アーベ（Aave/AAVE）、ファイルコイン（Filecoin/FIL）、トラストウォレットトークン（Trust Wallet Token/TWT）など、流動性集中度の高い複数のマーケットも同様に停止された。

Venus Protocolは、調査が継続中である間も、他のすべてのマーケットは引き続き稼働しており、影響を受けていないことを確認。また、エクスプロイトの完全な分析が完了次第、詳細なレポートを公開すると述べた。