Venus Protocol, una plataforma de préstamos en BNB Chain, sufrió una nueva explotación después de que atacantes manipularon la liquidez de tokens para abusar de los mecanismos de préstamos flash.
El incidente drenó aproximadamente 3.6 millones de dólares y obligó al protocolo a restringir el trading de varios activos.
Cómo se desarrolló la explotación
El análisis posterior al incidente indica que la operación estuvo en marcha durante meses. El atacante pasó ese período acumulando THE, el token nativo de Thena.
En total, se compraron aproximadamente 14.5 millones de THE—alrededor del 84% de la oferta circulante del token—en el mercado abierto.
El atacante luego transfirió los tokens al sistema de préstamos de Venus Protocol, evitando el flujo de depósito típico. Esta maniobra permitió al atacante construir una posición artificial que superaba con creces la oferta circulante real del token.
Los registros muestran que el ciclo de explotación eventualmente involucró alrededor de 53.2 millones de THE, aproximadamente un 367% más que la oferta real del activo.
La estrategia se basó en la escasa liquidez on-chain del token. El atacante depositó repetidamente THE como colateral, pidió prestados otros activos contra él y usó esos fondos prestados para comprar más THE.
Cada ciclo empujó el precio del oráculo del token más alto, creando la apariencia de una demanda creciente e inflando el valor del colateral.
Con cada ciclo, el atacante aumentó el tamaño del préstamo y eventualmente empujó el sistema más allá de sus límites.
La explotación finalmente drenó alrededor de 3.6 millones de dólares en activos. Los fondos robados incluyeron 6.67 millones de PancakeSwap, 2,801 BNB, 1.97K WBNB, 1.58 millones de USD Coin y 20 Bitcoin BEP2.
Respuesta del protocolo
En respuesta, el equipo detrás de Venus Protocol suspendió el mercado de THE e introdujo requisitos de colateral más estrictos para varios activos considerados de alto riesgo.
El marco revisado aumenta los umbrales de colateral y limita la exposición a tokens con liquidez débil o propiedad concentrada.
Bajo las nuevas condiciones, los tokens utilizados como colateral deben cumplir estándares más estrictos relacionados con la capitalización de mercado, el volumen de trading y la distribución de la oferta.
Se marcaron seis activos bajo los criterios actualizados, incluyendo Bitcoin Cash [BCH], Litecoin [LTC], Uniswap [UNI], Aave [AAVE], Filecoin [FIL] y Trust Wallet Token [TWT].
No es el primer incidente de seguridad
Sin embargo, este no fue el primer incidente de seguridad que involucró al protocolo.
En septiembre de 2025, Venus Protocol reportó pérdidas de aproximadamente 27 millones de dólares después de que un ataque de phishing comprometió el acceso a su controlador de pool principal.
El atacante desplegó una dirección de contrato maliciosa que manipuló el sistema. Esa explotación permitió el acceso a activos iToken como vUSDC y vETH.
Aun así, el Valor Total Bloqueado (TVL) de la plataforma se mantuvo relativamente estable.
Los datos mostraron que el TVL se mantuvo cerca de 1.47 mil millones de dólares en los últimos días, sin una caída inmediata y pronunciada después de la última explotación.
Resumen Final
- Venus Protocol sufrió una explotación de 3.6M de dólares después de que atacantes manipularon la liquidez del token THE y abusaron de los mecanismos de préstamos flash.
- El atacante acumuló 14.5M de THE (84% de la oferta circulante) antes de iniciar la explotación.
