VenusProtocol发布关于THE市场事件的说明称,此次事件并非闪电贷攻击,而是攻击者利用协议旧代码中的供应上限执行漏洞所致。团队表示,攻击者在约9个月内持续积累THE代币,逐步建立在Venus上的主导供应地位。公告指出,攻击者通过将THE代币直接转入协议合约的方式绕过正常存款流程,从而突破1450万枚THE的供应上限限制,并利用链上流动性较低的特点操纵DEX价格。当外部价格被TWAP预言机逐步反映后,攻击者以膨胀后的抵押价值循环借出资产(如CAKE、BNB等),再买入更多THE推高价格,并持续向vTHE市场转入THE提高抵押价值。该循环一度将价格从约0.27美元推升至约0.53美元,最终在仓位被清算后在协议中留下坏账。Venus表示,目前已暂停THE市场,将其抵押因子降至0并暂停提现。同时,出于预防措施,BCH、LTC、AAVE、POL、FIL、TWT、UNI及lisUSD等8个市场的抵押因子也被降至0。团队及安全合作伙伴正在持续调查,并将在后续发布完整的事后分析报告。