Venus Protocol, une plateforme de prêt sur BNB Chain, a subi un nouvel exploit après que des attaquants ont manipulé la liquidité des jetons pour abuser des mécanismes de prêt flash.
L'incident a drainé environ 3,6 millions de dollars et a forcé le protocole à restreindre le trading sur plusieurs actifs.
Comment l'exploit s'est déroulé
L'analyse post-incident indique que l'opération était en cours depuis des mois. L'attaquant a passé cette période à accumuler THE, le jeton natif de Thena.
Au total, environ 14,5 millions de THE—soit environ 84% de l'offre circulante du jeton—ont été achetés sur le marché libre.
L'attaquant a ensuite transféré les jetons dans le système de prêt de Venus Protocol, contournant le flux de dépôt typique. Cette manœuvre a permis à l'attaquant de construire une position artificielle qui dépassait de loin l'offre circulante réelle du jeton.
Les enregistrements montrent que le cycle d'exploit a finalement impliqué environ 53,2 millions de THE, soit environ 367% de plus que l'offre réelle de l'actif.
La stratégie reposait sur la faible liquidité on-chain du jeton. L'attaquant a déposé à plusieurs reprises THE comme collatéral, a emprunté d'autres actifs contre celui-ci et a utilisé ces fonds empruntés pour acheter plus de THE.
Chaque cycle a poussé le prix oracle du jeton à la hausse, créant l'apparence d'une demande croissante et gonflant la valeur du collatéral.
À chaque boucle, l'attaquant a accru la taille de l'emprunt et a finalement poussé le système au-delà de ses limites.
L'exploit a finalement drainé environ 3,6 millions de dollars d'actifs. Les fonds volés comprenaient 6,67 millions de PancakeSwap, 2 801 BNB, 1,97K WBNB, 1,58 million d'USD Coin et 20 Bitcoin BEP2.
Réponse du protocole
En réponse, l'équipe derrière Venus Protocol a suspendu le marché THE et a introduit des exigences de collatéral plus strictes pour plusieurs actifs considérés comme à haut risque.
Le cadre révisé relève les seuils de collatéral et limite l'exposition aux jetons ayant une faible liquidité ou une propriété concentrée.
Selon les nouvelles conditions, les jetons utilisés comme collatéral doivent répondre à des normes plus strictes liées à la capitalisation boursière, au volume d'échanges et à la distribution de l'offre.
Six actifs ont été signalés selon les critères mis à jour, notamment Bitcoin Cash [BCH], Litecoin [LTC], Uniswap [UNI], Aave [AAVE], Filecoin [FIL] et Trust Wallet Token [TWT].
Pas le premier incident de sécurité
Cependant, ce n'était pas le premier incident de sécurité impliquant le protocole.
En septembre 2025, Venus Protocol a signalé des pertes d'environ 27 millions de dollars après qu'une attaque de phishing a compromis l'accès à son contrôleur de pool principal.
L'attaquant a déployé une adresse de contrat malveillante qui a manipulé le système. Cet exploit a permis d'accéder à des actifs iToken tels que vUSDC et vETH.
Même ainsi, la valeur totale bloquée (TVL) de la plateforme est restée relativement stable.
Les données ont montré que le TVL se maintenait près de 1,47 milliard de dollars ces derniers jours, sans baisse immédiate et brutale après le dernier exploit.
Résumé final
- Venus Protocol a subi un exploit de 3,6 M$ après que des attaquants ont manipulé la liquidité du jeton THE et abusé des mécanismes de prêt flash.
- L'attaquant a accumulé 14,5 M de THE (84% de l'offre circulante) avant de déclencher l'exploit.
