Un sofisticado ataque de préstamo relámphace en Venus Protocol provocó pérdidas que superaron los $3.7 millones después de que un atacante manipuló el valor del colateral del token THE para extraer activos de alto valor. Venus Protocol opera como una plataforma descentralizada de préstamos y financiamiento en la BNB Chain, permitiendo a los usuarios depositar varios activos digitales y obtener rendimientos o préstamos. El ataque expuso vulnerabilidades subyacentes en la gestión de colaterales para tokens de baja liquidez.
Dinámicas del Ataque y Manipulación del Colateral
El exploit se dirigió al Core Pool de Venus Protocol, aprovechando la aceptación del token THE como colateral. El atacante había acumulado alrededor del 84 por ciento del suministro de THE durante un período prolongado, construyendo discretamente una posición dominante. En lugar de prácticas de depósito convencionales, el individuo transfirió tokens directamente al contrato vTHE, evitando las salvaguardas internas que imponen límites de suministro.
Esta maniobra elevó la posición colateral a 53.2 millones de tokens THE, excediendo casi cuatro veces el límite del protocolo de Venus. Amplificando el impacto, el atacante alternó entre depositar THE, usando el valor inflado para pedir prestados activos como BTC, CAKE, BNB y USDC, y posteriormente comprando más THE con los activos prestados. Cada ciclo permitió que el oráculo del precio promedio ponderado en el tiempo (TWAP) se ajustara, inflando aún más el valor percibido del colateral.
Reacción del Mercado y Medidas Inmediatas de Seguridad
Durante el avance del exploit, el precio del token THE se disparó de $0.263 a $0.563 antes de que liquidaciones abruptas lo bajaran a $0.22. Esta volatilidad del precio estresó severamente el protocolo, llevando a la liquidación forzada de activos y al significativo evento de pérdida. Se han observado patrones de ataque similares en el sector de finanzas descentralizadas, especialmente con tokens que tienen poca profundidad de mercado y son susceptibles a la manipulación a través de oráculos.
Venus Protocol respondió congelando seis mercados de alto riesgo, incluyendo BCH, LTC, UNI, AAVE, FIL y TWT, en un esfuerzo por proteger los activos restantes de incidentes adicionales. Los préstamos y retiros relacionados con el token THE fueron detenidos, aunque otros mercados de la plataforma continuaron operando sin interrupción.
El equipo del protocolo indicó que la billetera sospechosa podría haber utilizado Tornado Cash para financiar el ataque, complicando la trazabilidad. En respuesta, Venus Protocol ha fortalecido las reglas de colateral y está realizando una revisión exhaustiva de los mecanismos de oráculos para ayudar a prevenir exploits similares. El incidente dejó una deuda incobrable estimada entre $1.7 millones y $2.15 millones, con la mayor parte originándose del mercado CAKE.
Análisis adicionales confirmaron que la interrupción se restringió a mercados de activos específicos—principalmente THE y CAKE—sin riesgo de contagio más amplio para la plataforma. Los expertos en seguridad que monitorean la situación enfatizaron el riesgo elevado al prestar o pedir prestados activos con liquidez limitada, subrayando la importancia de salvaguardas rigurosas y verificaciones de contratos inteligentes.
Venus Protocol continúa actualizando a sus usuarios a medida que avanzan las investigaciones. El caso resalta los desafíos continuos que enfrentan los protocolos DeFi cuando las condiciones del mercado en evolución y las estrategias de ataque creativas superan los modelos de riesgo actuales y los controles técnicos.
