Venus Protocol Diserang "Liquidation Bomb": Peretas Menyamar sebagai Operasi Normal Selama 9 Bulan, Menciptakan Hutang Macet Senilai 2,15 Juta Dolar

BNB Chain Lending Protocol Venus Protocol mengalami serangan yang direncanakan dengan matang pada 16 Maret, berupa celah batas pasokan yang dieksploitasi. Peretas menghabiskan waktu 9 bulan secara perlahan membangun posisi dan mengendalikan harga THE token, kemudian memicu rangkaian likuidasi massal. Akibatnya, protocol mengalami kerugian bad debt sekitar 2,15 juta dolar AS, sementara peretas berhasil menarik sekitar 5,07 juta dolar AS aset, dengan keuntungan nyata yang diperkirakan lebih tinggi.

(Prakata: Peretas BNB hampir likuidasi 200 juta dolar AS, Venus: Tim resmi BNB Chain akan “mengambil alih posisi”)
(Latar belakang tambahan: Penelitian | Serangan paling umum pada model ekonomi DeFi: manipulasi harga token, kesalahan oracle, likuidasi leverage)

Daftar Isi Artikel

Toggle

• Kronologi Serangan: 9 bulan bersembunyi, 40 menit panen
• Hasil: Penarikan 5,07 juta dolar AS, kerugian bad debt 2,15 juta dolar AS
• Respon Darurat Venus: 7 pasar faktor jaminan diatur ulang ke nol

Pada 16 Maret, Venus Protocol, salah satu protocol pinjaman terkemuka di BNB Chain, mengalami serangan terencana selama 9 bulan yang sangat cermat. Setelah mendapatkan dana melalui Tornado Cash, peretas mengendalikan harga THE (token asli Thena) yang memiliki likuiditas rendah, memicu rangkaian likuidasi massal. Akibatnya, protocol mengalami kerugian bad debt sekitar 2,15 juta dolar AS, sementara peretas menarik sekitar 5,07 juta dolar AS aset dari protocol, dengan keuntungan yang diperkirakan lebih tinggi lagi.

Kronologi Serangan: 9 bulan bersembunyi, 40 menit panen

Sebuah dompet yang menerima 7.447 ETH (sekitar 16,29 juta dolar AS) dari Tornado Cash, dengan alamat “0x7a7”, telah diidentifikasi oleh peneliti on-chain sebagai dalang di balik serangan ini.

Serangan dilakukan dalam dua tahap:

2. Persembunyian jangka panjang (mulai Juni 2025): Peretas secara perlahan mengumpulkan THE melalui proses deposit normal di Venus, hingga akhirnya menguasai 84% dari batas pasokan protocol (sekitar 12,2 juta token).
3. Ledakan hari H (sekitar 40 menit): Peretas menggunakan ETH sebagai jaminan di Aave, meminjam 992 juta dolar AS stablecoin, lalu mengakumulasi THE secara besar-besaran di bursa terpusat, diduga untuk mendorong harga spot; sekaligus langsung mentransfer 36,1 juta THE ke kontrak protocol, secara instan meningkatkan pasokan on-chain.

Selanjutnya, mereka memulai loop rekursif: menyetor THE → meminjam aset lain → menggunakan aset pinjaman untuk membeli THE lagi di on-chain → menunggu delay pembaruan TWAP oracle, sehingga harga secara pasif meningkat → mengulang proses tersebut.

Harga spot THE selama proses ini melonjak dari $0,263 ke $0,563, lebih dari dua kali lipat. Sekitar 40 menit kemudian, harga jatuh ke $0,22, memicu rangkaian likuidasi massal.

Hasil: Penarikan 5,07 juta dolar AS, kerugian bad debt 2,15 juta dolar AS

Peretas akhirnya meminjam dan menarik:

• 2.172 BNB
• 151.600 CAKE
• 20 BTC

Venus menanggung kerugian bad debt sekitar 1,18 juta CAKE dan 1,84 juta THE, total sekitar 2,15 juta dolar AS. Peneliti on-chain menunjukkan bahwa posisi short THE di bursa terpusat oleh peretas mungkin memberikan keuntungan tambahan, sehingga keuntungan nyata bisa jauh lebih tinggi dari angka on-chain yang terlihat.

Serangan ini termasuk dalam kategori serangan yang dikenal sebagai “supply cap donation attack” — menurut CoinTelegraph, ini adalah celah yang diketahui dapat digunakan untuk melewati batas pasokan yang ditetapkan oleh protokol turunan dari Compound. Sebagai cabang dari Compound, Venus sendiri sudah memiliki celah ini.

Respon Darurat Venus: 7 faktor jaminan di pasar diatur ulang ke nol

“Venus selalu berkomitmen terhadap transparansi, setelah penyelidikan selesai akan dirilis laporan lengkap.” — Pengumuman resmi Venus Protocol

Tim Venus menyatakan bahwa, selain penghentian sementara pinjaman dan penarikan THE sebelumnya, saat ini mereka telah menurunkan 7 faktor jaminan (Collateral Factor) di pasar berikut menjadi 0 sebagai langkah pencegahan terhadap pasar yang dimiliki oleh pengguna dengan proporsi jaminan yang terlalu tinggi:

• BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD

Protocol menegaskan bahwa semua pasar selain 7 yang disebutkan di atas tetap beroperasi normal dan tidak terpengaruh. Laporan lengkap akan dirilis setelah penyelidikan selesai.

Insiden ini kembali menyoroti risiko struktural dalam protokol pinjaman DeFi yang memanfaatkan token dengan likuiditas rendah dan delay pada TWAP oracle — ketika peretas memiliki cukup waktu dan dana untuk membangun posisi secara perlahan, mekanisme perlindungan batas pasokan menjadi tidak efektif.