Il y a deux heures, le token THE de VenuV a été la cible d’une attaque de manipulation de prix typique du type Mango Markets.
L’attaquant a exploité THE, un actif de collatéral à la liquidité extrêmement faible :
- Il a d’abord déposé THE en tant que collatéral.
- Ensuite, il a emprunté d’autres actifs en contrepartie.
- Il a utilisé les actifs empruntés pour acquérir du THE supplémentaire.
- Cette pression acheteuse a fait grimper le prix de THE encore plus haut.
- Une fois l’oracle du prix moyen pondéré dans le temps actualisé, l’attaquant a obtenu une valeur de collatéral reconnue plus élevée.
- Il a répété ce cycle d’emprunt et d’achat pour amplifier l’effet.
Source : Mon article, « Unmasking Role-Play Attack Strategies in Exploiting Decentralized Finance (DeFi) Systems »
https://dl.acm.org/doi/10.1145/3605768.3623545
En raison de la très faible liquidité on-chain de THE, l’attaquant a pu faire grimper le prix de 0,27 $ à près de 5 $. L’oracle a ensuite actualisé le prix moyen pondéré dans le temps à 0,5 $, offrant à l’attaquant une marge supplémentaire pour accroître son effet de levier.
Plus important encore, THE dispose d’un plafond d’émission. Normalement, cela limiterait la capacité de l’attaquant à étendre davantage sa position. Cependant, il a contourné cette contrainte à l’aide d’une stratégie classique : l’attaque par donation sur un fork de Compound.
Après avoir déposé une grande quantité de THE, l’attaquant a transféré directement du THE au contrat vTHE, effectuant ainsi une « donation » de tokens. Cette manœuvre a artificiellement gonflé la valeur du collatéral reconnue par le système, lui permettant de dépasser le plafond.
Transaction d’attaque : 0x4f477e941c12bbf32a58dc12db7bb0cb4d31d41ff25b2457e6af3c15d7f5663f
Transaction d’attaque : 0x4f477e941c12bbf32a58dc12db7bb0cb4d31d41ff25b2457e6af3c15d7f5663f. Donations utilisées pour gonfler encore davantage la valeur du collatéral.
Après le premier cycle d’attaque, le prix de THE s’est stabilisé autour de 0,5 $. À ce stade, l’attaquant aurait pu sortir avec les actifs empruntés. Il a cependant cherché à maximiser ses profits en continuant d’utiliser les fonds empruntés pour acheter encore plus de THE, espérant provoquer une nouvelle hausse du prix.
C’est à ce moment que le plan a échoué :
Bien que le prix soit resté anormalement élevé, la pression vendeuse sur le marché est devenue extrême. L’attaquant a continué d’acheter, mais n’a plus réussi à faire progresser le prix. Il a fini par épuiser presque toute sa capacité d’emprunt, et le facteur de santé de sa position est tombé à près de 1, le plaçant au bord de la liquidation.
Évolution du prix de THE
À ce stade, la situation était claire :
Le collatéral de l’attaquant — composé de ses actifs initiaux et du THE accumulé durant l’attaque — affichait une valeur nominale d’environ 30 millions de dollars. Cependant, le problème fondamental résidait dans l’absence totale de liquidité pour ces actifs.
Dès le début de la liquidation, tout ce THE allait être déversé sur le marché. Il était impossible pour le marché d’absorber un tel volume à des prix artificiellement gonflés.
Ma réaction : dès le lancement de la liquidation, j’ai ouvert une position short sur THE.
C’était en réalité le moment idéal pour utiliser un effet de levier accru, en raison de la surévaluation, de la faible liquidité, de la pression vendeuse massive et du manque d’acheteurs.
Le résultat était prévisible :
Après la liquidation, le prix de THE est retombé autour de 0,24 $ — soit en dessous de son niveau d’avant l’attaque, car les détenteurs initiaux ont également vendu durant le processus.
J’ai clôturé ma position short à ce moment-là, réalisant un profit d’environ 15 000 $.
Ma position short
Au final, Venus s’est retrouvé avec environ 2 millions de dollars de créances douteuses. Je n’ai pas encore mené d’analyse complète du profit de l’attaquant ; toutefois, sur la base de certaines activités de portefeuille, il est probable qu’il ait peu ou pas profité, et qu’il ait même pu se faire liquider lui-même. Cela dit, l’attaquant détenait peut-être encore des positions perpétuelles hors chaîne pour dégager un profit — à l’image de ma propre stratégie.
Adresse de la créance douteuse d’environ 2 millions de dollars de Venus :
Créance douteuse de Venus (~2 millions de dollars) :
https://debank.com/profile/0x1a35bd28efd46cfc46c2136f878777d69ae16231
Cet incident rappelle une fois de plus que, dans la DeFi, la « valeur nominale du collatéral » n’équivaut pas à la « valeur de liquidation ». Lorsque le collatéral manque de liquidité, le système peut afficher 30 millions de dollars, mais le marché ne pourra en réaliser qu’une fraction.
