Dua jam lalu, token THE milik VenuV menjadi target serangan manipulasi harga dengan pola klasik ala Mango Markets.
Penyerang memanfaatkan THE, aset jaminan dengan likuiditas sangat rendah:
- Pertama, mereka memasukkan THE sebagai jaminan.
- Selanjutnya, mereka meminjam aset lain dengan jaminan tersebut.
- Lalu, mereka menggunakan aset pinjaman untuk membeli lebih banyak THE.
- Tekanan beli ini mendorong harga THE semakin naik.
- Setelah oracle harga rata-rata tertimbang waktu diperbarui, penyerang memperoleh nilai jaminan yang lebih tinggi.
- Siklus pinjam-dan-beli ini diulang untuk memperbesar dampaknya.
Sumber: Makalah saya, "Unmasking Role-Play Attack Strategies in Exploiting Decentralized Finance (DeFi) Systems"
https://dl.acm.org/doi/10.1145/3605768.3623545
Karena THE memiliki likuiditas on-chain yang sangat buruk, penyerang mampu mendorong harga dari $0,27 hingga hampir $5. Oracle kemudian memperbarui harga rata-rata tertimbang waktu menjadi $0,5, memberikan ruang lebih bagi penyerang untuk meningkatkan leverage.
Lebih penting lagi, THE memiliki batas pasokan. Dalam kondisi normal, hal ini akan membatasi ruang gerak penyerang untuk memperbesar posisi. Namun, mereka menembus batas ini dengan strategi klasik: serangan donasi pada fork Compound.
Setelah menyetor sejumlah besar THE, penyerang langsung mentransfer THE ke kontrak vTHE, sehingga “mendonasi” token. Taktik ini secara artifisial meningkatkan nilai jaminan yang diakui sistem dan memungkinkan mereka melewati batas pasokan.
Transaksi serangan: 0x4f477e941c12bbf32a58dc12db7bb0cb4d31d41ff25b2457e6af3c15d7f5663f
Transaksi serangan: 0x4f477e941c12bbf32a58dc12db7bb0cb4d31d41ff25b2457e6af3c15d7f5663f. Donasi digunakan untuk semakin menggelembungkan nilai jaminan.
Setelah siklus serangan awal, harga THE stabil di kisaran $0,5. Pada tahap ini, penyerang bisa saja keluar dengan aset pinjaman. Namun, mereka mencoba memaksimalkan keuntungan dengan terus menggunakan dana pinjaman untuk membeli lebih banyak THE, menargetkan kenaikan harga berikutnya.
Di sinilah rencana mereka mulai gagal:
Meskipun harga tetap sangat tinggi, tekanan jual di pasar menjadi ekstrem. Penyerang terus membeli, tetapi tidak lagi mampu mengangkat harga. Akhirnya, kapasitas pinjaman mereka hampir habis, dan faktor kesehatan posisi turun mendekati 1, menempatkan mereka di ambang likuidasi.
Perubahan harga THE
Pada titik ini, situasinya sudah jelas:
Jaminan milik penyerang—baik aset awal maupun THE yang dikumpulkan selama serangan—memiliki nilai nominal sekitar $30 juta. Namun, masalah utamanya adalah tidak adanya likuiditas untuk aset-aset tersebut.
Begitu likuidasi dimulai, seluruh THE ini akan dijual ke pasar. Tidak mungkin pasar dapat menyerap jumlah sebesar itu pada harga yang sudah dipompa secara artifisial.
Tindakan saya: Saat likuidasi dimulai, saya membuka posisi short pada THE.
Ini sebenarnya peluang ideal untuk menggunakan leverage lebih tinggi, karena harga terlalu tinggi, likuiditas rendah, tekanan jual pasif besar, dan minimnya pembeli.
Hasilnya sudah bisa diprediksi:
Setelah likuidasi, harga THE turun kembali ke sekitar $0,24—bahkan lebih rendah dari level sebelum serangan, karena pemegang awal juga ikut menjual saat proses berlangsung.
Saya menutup posisi short di sini, dan memperoleh keuntungan sekitar $15.000.
Posisi short saya
Pada akhirnya, Venus menanggung utang macet sekitar $2 juta. Saya belum melakukan analisis keuntungan penuh untuk penyerang; namun, dari aktivitas dompet tertentu, kemungkinan besar mereka hanya mendapat sedikit atau bahkan tidak mendapat keuntungan sama sekali, bahkan mungkin terlikuidasi sendiri. Meski demikian, penyerang masih mungkin memiliki posisi perpetual off-chain untuk meraih keuntungan—mirip strategi saya.
Alamat utang macet Venus sekitar $2 juta:
Utang macet Venus sekitar $2 juta:
https://debank.com/profile/0x1a35bd28efd46cfc46c2136f878777d69ae16231
Insiden ini sekali lagi menegaskan: di DeFi, “nilai jaminan nominal” tidak sama dengan “nilai likuidasi.” Jika jaminan tidak likuid, sistem bisa saja mencatat $30 juta, namun pasar mungkin hanya dapat merealisasikan sebagian kecil dari jumlah tersebut.
