Analyse de l'attaque Venus THE : Comment réaliser des profits dans une fenêtre instantanée ?

marsbitPublié le 2026-03-16Dernière mise à jour le 2026-03-16

Résumé

Résumé de l'attaque sur Venus Protocol impliquant le jeton THE : Un attaquant a exploité la faible liquidité du jeton THE (0,27 $ initialement) en manipulant son prix via un prêt sur Venus. La stratégie consistait à : 1. Mettre THE en collateral 2. Emprunter d'autres actifs 3. Acheter massivement THE avec les fonds empruntés pour faire monter son prix 4. Profiter du délai de mise à jour de l'oracle pour obtenir une valorisation de collateral gonflée 5. Répéter le cycle pour amplifier l'effet de levier. Le prix a été artificiellement porté à près de 5 $. L'attaquant a contourné le plafond d'approvisionnement (supply cap) en effectuant un "don" de THE au contrat vTHE (donation attack). Alors que l'attaquant tentait une seconde vague d'achats, la pression vendeuse est devenue écrasante. Son ratio de santé a chuté près de 1, le menant à la liquidation. Ses THE, surévalués et illiquides, ont été vendus en masse, faisant chuter le prix à 0,24 $. L'auteur de l'article a profité de la situation en prenant une position short sur THE lors des liquidations, réalisant un profit d'environ 15 000 $. L'attaque a finalement généré environ 2 millions de dollars de bad debt pour Venus Protocol. Cet incident démontre que dans la DeFi, la "valeur nominale du collateral" ne équivaut pas à sa "valeur liquidative réelle", surtout pour les actifs peu liquides.

Il y a deux heures, THE de VenuV a subi une attaque typique de manipulation des prix de type Mango Markets.

L'attaquant a ciblé le collatéral THE à faible liquidité :

· D'abord, mettre THE en garantie

· Emprunter d'autres actifs

· Utiliser les actifs empruntés pour continuer à acheter THE

· Faire monter le prix de THE

· Après la mise à jour de l'oracle à moyenne temporelle, obtenir une valeur de collatéral plus élevée, puis continuer le cycle d'emprunt.

En raison de la très faible liquidité on-chain de THE, le prix a été tiré de 0,27 $ à près de 5 $. Le prix de l'oracle a ensuite été mis à jour à 0,5 $ (moyenne temporelle), ce qui a donné à l'attaquant un espace pour amplifier davantage son levier.

Plus crucial encore, THE lui-même a un plafond d'approvisionnement (supply cap).

Normalement, cela limiterait la capacité de l'attaquant à augmenter sa position. Mais il a utilisé une technique classique pour contourner cela : l'attaque par donation (donation attack) des forks de Compound. C'est-à-dire qu'après avoir déposé une grande quantité de THE, il a directement transféré des THE au contrat vTHE, « faisant un don » pour continuer à augmenter la valeur de collatéral reconnue par le système, franchissant ainsi davantage la limite.

Transaction de l'attaque : 0x4f477e941c12bbf32a58dc12db7bb0cb4d31d41ff25b2457e6af3c15d7f5663f

Après la première vague de l'attaque, le prix de THE s'est à peu près stabilisé autour de 0,5 $.

En fait, à ce stade, l'attaquant aurait pu partir avec les actifs empruntés. Mais il voulait visiblement maximiser ses profits, il a donc continué à utiliser les actifs empruntés pour acheter THE, essayant de provoquer une autre hausse.

Le problème est survenu : Bien que le prix soit anormalement élevé, la pression de vente du marché est également devenue extrêmement forte. L'attaquant a continué à acheter, mais n'a plus vraiment réussi à faire monter le prix. Jusqu'à ce qu'il ait finalement presque épuisé sa capacité de collateralisation, et le facteur de santé de sa position a été ramené à près de 1, au bord de la liquidation.

À ce moment, la situation était très claire : Les garanties détenues par l'attaquant, comprenant les actifs préparés à l'avance et les THE achetés pendant l'attaque, avaient une valeur nominale d'environ 30 M$. Mais le problème central de ces garanties était qu'elles n'avaient tout simplement pas assez de liquidités pour être absorbées. Une fois la liquidation commencée, ces THE ne pourraient être que massivement jetés sur le marché. Et sur le marché, il était impossible que quelqu'un absorbe un volume aussi important à un prix aussi artificiellement élevé.

Alors, qu'ai-je fait ?

Au début de la liquidation, j'ai directement pris une position short sur THE. Et on pouvait même utiliser un levier relativement plus élevé à ce niveau.

La raison est simple : Valorisation élevée, faible liquidité, pression de vente passive à grande échelle, absence d'acheteurs.

Le résultat n'a pas été une surprise : Après la liquidation, le prix de THE est redescendu à environ 0,24 $, voire en dessous du prix d'avant l'attaque, car les détenteurs originaux ont également vendu pendant le processus.

J'ai clôturé ma position short à ce niveau, réalisant un profit d'environ 15 K$.

Finalement, Venus a subi une perte (bad debt) d'environ 2 M$.

Quant à savoir combien l'attaquant a réellement gagné, je n'ai pas encore fait de calcul complet ; mais en regardant les opérations de certaines adresses, il est très probable qu'il n'ait presque rien gagné, voire qu'il se soit lui-même mis en difficulté. Mais l'attaquant pourrait toujours avoir des positions perpétuelles hors chaîne (perp) pour gagner de l'argent (comme notre opération).

Adresse de la perte d'environ 2 M$ de Venus : https://debank.com/profile/0x1a35bd28efd46cfc46c2136f878777d69ae16231

Cet événement démontre encore une fois :

Dans la DeFi, la « valeur de collatéral nominale » n'est pas égale à la « valeur liquidable ». Lorsque le collatéral lui-même n'a pas de liquidités, le système voit 30 M$, mais ce que le marché peut réellement réaliser est probablement bien inférieur.

J'ai publié un article en 23, intitulé Unmasking Role-Play Attack Strategies in Exploiting Decentralized Finance (DeFi) Systems, qui modélise mathématiquement en détail cette attaque. Les lecteurs intéressés peuvent s'y référer : https://dl.acm.org/doi/10.1145/3605768.3623545

Questions liées

QQuel type d'attaque a été utilisé contre Venus V, et en quoi consiste-t-elle ?

AL'attaque était une manipulation de prix de type Mango Markets. L'attaquant a utilisé un actif à faible liquidité (THE) comme collatéral, a emprunté d'autres actifs, a racheté du THE pour faire monter son prix, et a attendu que l'oracle mette à jour le prix moyen pour obtenir une valeur de collatéral plus élevée, répétant ce cycle pour amplifier son levier.

QComment l'attaquant a-t-il contourné le plafond d'approvisionnement (supply cap) de THE ?

AL'attaquant a utilisé une technique classique appelée « donation attack ». Après avoir déposé une grande quantité de THE, il a effectué un transfert direct de THE au contrat vTHE, « faisant un don » pour augmenter artificiellement la valeur du collatéral reconnue par le système et ainsi dépasser la limite imposée par le plafond.

QPourquoi l'auteur de l'article a-t-il pris une position short (vendeuse) sur THE ?

AL'auteur a pris une position short parce que la valeur nominale du collatéral de l'attaquant (environ 30M$) était bien supérieure à sa valeur liquidative réelle. Le marché n'avait pas la liquidité nécessaire pour absorber une telle quantité de THE aux prix gonflés artificiellement, ce qui rendait une chute brutale du prix inévitable lors des liquidations.

QQuel a été le résultat final de cette attaque pour le protocole Venus ?

ALe protocole Venus a subi une perte (bad debt) d'environ 2 millions de dollars à la suite de cette attaque, car la valeur récupérée lors des liquidations n'a pas couvert les emprunts effectués par l'attaquant.

QQuel concept clé de la DeFi cet incident met-il en évidence selon l'auteur ?

ACet incident souligne que dans la DeFi, la « valeur de collatéral nominale » n'est pas égale à la « valeur de collatéral liquidative ». Lorsqu'un actif utilisé comme garantie manque de liquidités, le système peut lui attribuer une valeur élevée, mais le marché est incapable de l'échanger à ce prix, ce qui peut entraîner des pertes importantes pour le protocole.

Lectures associées

Le Triangle impossible est en réalité un faux problème

L'auteur conteste la pertinence du "trilemme" classique (décentralisation, scalabilité, sécurité) pour les blockchains. Il propose que les vrais freins à l'adoption massive sont la légitimité (environnement réglementaire) et le manque de confidentialité par défaut. La blockchain est définie comme un ordinateur partagé, lent et cher, dont la seule valeur unique est de fonctionner sans propriétaire ni permission. Seul l'argent natif (comme les stablecoins) est un actif adapté, car sa simple inscription au registre constitue sa valeur. Le marché actuel ne sert qu'une niche ("les gens assez aisés"). Les gros capitaux institutionnels restent à l'écart, principalement à cause des risques opérationnels et de deux défauts structurels : 1. **Légitimité** : L'absence de permission, essentielle, crée des zones grises réglementaires. Des progrès législatifs récents (ex: loi GENIUS) commencent à combler ce fossé. 2. **Transparence** : Celle-ci est présentée comme une vertu, mais constitue en réalité une taxe. Elle expose chaque transaction, position et paiement, permettant le MEV (extraction de valeur maximale) et décourageant toute entité sérieuse de révéler sa trésorerie au monde. L'auteur souligne l'ironie d'un système fondé sur la cryptographie qui ne protège pas la vie financière des utilisateurs. La solution réside dans une **confidentialité par défaut avec des preuves de conformité** (via des preuves à connaissance nulle - ZK). Cela permet de prouver un fait (solvabilité, respect des limites, KYC) sans révéler les données sous-jacentes, combinant ainsi protection individuelle et vérifiabilité pour les auditeurs et régulateurs. Cette évolution, purement améliorative, pourrait enfin attirer les milliers de milliards de capitaux institutionnels et faire de la blockchain l'infrastructure financière qu'elle était censée être.

marsbitIl y a 3 h

Le Triangle impossible est en réalité un faux problème

marsbitIl y a 3 h

L'impossible trilemme est un faux problème

L'industrie de la cryptographie a construit le système de cryptographie le plus puissant de l'histoire, mais son principal échec est l'absence de confidentialité financière par défaut. Chaque transaction, paiement et portefeuille est diffusé publiquement. La blockchain est essentiellement un ordinateur partagé, lent et coûteux, dont la seule valeur réside dans son absence de propriétaire unique et sa résistance à la censure. Pendant des années, le débat s'est concentré sur le "trilemme" (décentralisation, évolutivité, sécurité), qui est aujourd'hui largement résolu. Le vrai frein à l'adoption massive n'est pas là. La véritable contrainte est double : la légitimité juridique et le manque de confidentialité. Les fonds sont l'actif natif de la blockchain, mais les grands capitaux institutionnels restent à l'écart car l'environnement est perçu comme trop risqué et non conforme. La transparence totale de la chaîne n'est pas une vertu, mais une taxe. Elle expose les utilisateurs au MEV (Maximum Extractable Value), où les transactions sont espionnées et exploitées avant leur règlement, drainant des milliards de dollars de valeur. La plus grande ironie est que ce système, bâti sur la cryptographie, n'applique pas le chiffrement aux activités financières des utilisateurs, contrairement à la communication qui l'a adopté il y a des décennies. La solution n'est pas un anonymat total, mais une confidentialité prouvable et conforme. Les technologies cryptographiques modernes (comme les preuves à connaissance nulle) permettent de vérifier la solvabilité, la conformité KYC ou les limites de risque sans révéler les données sous-jacentes. Cela préserve les avantages de l'auditabilité tout en éliminant l'exposition permanente. En combinant un cadre réglementaire émergent (comme le GENIUS Act) et une confidentialité par défaut avec des mécanismes de divulgation vérifiable, la blockchain peut effectuer une mise à niveau pure. Elle cesse d'être un "tableur public coûteux" pour devenir une machine partagée qui confirme la véracité des transactions sans en divulguer le contenu. C'est le pont qui permettra aux capitaux institutionnels et à la finance traditionnelle de rejoindre la chaîne, débloquant ainsi les milliers de milliards de dollars qui attendent. Le système cryptographique le plus puissant apprend enfin à garder un secret, et cela change tout.

链捕手Il y a 4 h

L'impossible trilemme est un faux problème

链捕手Il y a 4 h

Des puces optiques en pleine expansion de production collective

La demande de puces photoniques connaît une croissance exponentielle, stimulée par les besoins en interconnexion optique des centres de données d'IA. Une course mondiale aux capacités de production est engagée. Aux États-Unis, Coherent étend sa ligne de production de semi-conducteurs InP de 6 pouces au Texas, soutenue par un financement et un investissement stratégique de Nvidia. Nokia développe ses capacités de test et d'emballage avancés en Pennsylvanie. Le japonais JX Advanced Metals prévoit d'augmenter sa production de substrats InP par 7 à 10 fois. En Europe, IQE et Tower Semiconductor ont conclu un accord d'approvisionnement à long terme pour les plaquettes InP, illustrant la tendance à l'intégration hétérogène des composants InP performants dans les plateformes silicium-optique matures. En Chine, l'expansion est rapide. Suzhou TFC Optical Communication (Solstice) investit 12 milliards de dollars dans un projet d'expansion. San'an Photonics possède une capacité de production mensuelle de 2 750 plaquettes pour les puces InP. Yunnan Germanium a lancé un projet pour augmenter la production de tranches de monocristal InP. La chaîne d'approvisionnement chinoise se consolide de la matière première au module. Malgré les débats sur les délais de déploiement du CPO (Co-Packaged Optics), l'augmentation globale de la consommation de contenu optique (moteurs photoniques, lasers) est incontestable, tirée par la demande croissante de bande passante dans l'IA. Le paysage futur impliquera probablement plusieurs architectures (silicium-optique, VCSEL, MicroLED) coexistant pour différentes distances et besoins. Cette frénésie d'expansion mondiale, des États-Unis et du Japon à l'Europe et la Chine, représente un pari collectif de l'industrie des semi-conducteurs sur l'avenir photonique de l'informatique à haute performance.

marsbitIl y a 6 h

Des puces optiques en pleine expansion de production collective

marsbitIl y a 6 h

Les stablecoins trouvent enfin un rendement réel : Détails de la réassurance en chaîne Re | Discussion avec Karan Saroya, fondateur de Re

Le projet Re est une plateforme de réassurance décentralisée qui connecte les stablecoins à l'industrie traditionnelle de l'assurance. Elle collecte des stablecoins (actuellement 1700 milliards de dollars en circulation) et les utilise comme garantie pour fournir du capital à des compagnies d'assurance américaines. En échange, les assureurs paient des primes dont les bénéfices sont reversés aux déposants sur la blockchain, générant un rendement annuel réel estimé entre 12% et 14%. Le modèle exploite un effet de levier réglementaire : 1 dollar de garantie permet de soutenir 5 à 7 dollars de primes d'assurance. Cette efficacité opérationnelle, couplée à l'automatisation par contrats intelligents, permet à Re de concurrencer les géants traditionnels du secteur avec une équipe réduite. Les déposants reçoivent des jetons représentatifs (receipt tokens) qu'ils peuvent ensuite utiliser dans le DeFi (ex: Morpho, Fluid) pour du "looping" et potentiellement augmenter leurs rendements. Re a également émis un jeton de gouvernance, RE, inspiré du modèle historique de Lloyd's of London, permettant de contrôler l'allocation du capital central. En résumé, Re crée une nouvelle source de rendement non corrélée aux marchés crypto ou actions, en canalisant les stablecoins vers l'économie réelle via la réassurance, tout en démocratisant l'accès à cette classe d'actifs auparavant réservée aux grands investisseurs institutionnels.

链捕手Il y a 7 h

Les stablecoins trouvent enfin un rendement réel : Détails de la réassurance en chaîne Re | Discussion avec Karan Saroya, fondateur de Re

链捕手Il y a 7 h

1996 ou 1999 ? Le premier test de Walsh est 'comment voir l'IA'

L’arrivée de Jerome Warsh à la tête de la Fed est confrontée à une question fondamentale : **comment interpréter le boom actuel de l’IA** ? Deux scénarios historiques s’affrontent. Le premier, inspiré de 1996 sous Alan Greenspan, suggère que les gains de productivité conteniront l’inflation, permettant à la Fed de rester patiente. Le second, évoquant 1999, craint que des attentes trop optimistes ne provoquent une surchauffe, exigeant un resserrement monétaire précoce. Warsh penche vers le scénario de 1996, affirmant qu’une croissance tirée par la productivité est à « embrasser ». Il redoute qu’une réaction prématurée de la Fed n’étouffe une expansion bénéfique. Cependant, le contexte actuel – tensions commerciales, déficits budgétaires, reflux de la mondialisation – est bien plus inflationniste que celui des années 1990, réduisant la marge de manœuvre. La position de Warsh est contestée, notamment par Austan Goolsbee de la Fed de Chicago. Selon lui, un boom anticipé par tous peut inciter à une dépense prématurée, alimentant l’inflation avant même que les gains de productivité ne se matérialisent. La flambée des coûts des data centers et des composants en serait un signe. En réponse, d’autres, comme Christopher Waller, notent que les contraintes de crédit des ménages pourraient limiter cet effet de « anticipation des dépenses ». Enfin, Warsh souhaite réduire le « forward guidance » (guidage prospectif), un outil hérité de 1999. Mais si l’économie suit le scénario de 1999, il pourrait être contraint de l’utiliser pour éviter des turbulences sur les marchés. Ainsi, **la première grande épreuve de Warsh consistera à trancher : sommes-nous en 1996 ou en 1999 ?** Sa réponse définira l’orientation de la politique monétaire et marquera son mandat.

marsbitIl y a 8 h

1996 ou 1999 ? Le premier test de Walsh est 'comment voir l'IA'

marsbitIl y a 8 h

Trading

Spot

Futures