Analyse de l'attaque Venus THE : Comment réaliser des profits dans une fenêtre instantanée ?

marsbitPublié le 2026-03-16Dernière mise à jour le 2026-03-16

Résumé

Résumé de l'attaque sur Venus Protocol impliquant le jeton THE : Un attaquant a exploité la faible liquidité du jeton THE (0,27 $ initialement) en manipulant son prix via un prêt sur Venus. La stratégie consistait à : 1. Mettre THE en collateral 2. Emprunter d'autres actifs 3. Acheter massivement THE avec les fonds empruntés pour faire monter son prix 4. Profiter du délai de mise à jour de l'oracle pour obtenir une valorisation de collateral gonflée 5. Répéter le cycle pour amplifier l'effet de levier. Le prix a été artificiellement porté à près de 5 $. L'attaquant a contourné le plafond d'approvisionnement (supply cap) en effectuant un "don" de THE au contrat vTHE (donation attack). Alors que l'attaquant tentait une seconde vague d'achats, la pression vendeuse est devenue écrasante. Son ratio de santé a chuté près de 1, le menant à la liquidation. Ses THE, surévalués et illiquides, ont été vendus en masse, faisant chuter le prix à 0,24 $. L'auteur de l'article a profité de la situation en prenant une position short sur THE lors des liquidations, réalisant un profit d'environ 15 000 $. L'attaque a finalement généré environ 2 millions de dollars de bad debt pour Venus Protocol. Cet incident démontre que dans la DeFi, la "valeur nominale du collateral" ne équivaut pas à sa "valeur liquidative réelle", surtout pour les actifs peu liquides.

Il y a deux heures, THE de VenuV a subi une attaque typique de manipulation des prix de type Mango Markets.

L'attaquant a ciblé le collatéral THE à faible liquidité :

· D'abord, mettre THE en garantie

· Emprunter d'autres actifs

· Utiliser les actifs empruntés pour continuer à acheter THE

· Faire monter le prix de THE

· Après la mise à jour de l'oracle à moyenne temporelle, obtenir une valeur de collatéral plus élevée, puis continuer le cycle d'emprunt.

En raison de la très faible liquidité on-chain de THE, le prix a été tiré de 0,27 $ à près de 5 $. Le prix de l'oracle a ensuite été mis à jour à 0,5 $ (moyenne temporelle), ce qui a donné à l'attaquant un espace pour amplifier davantage son levier.

Plus crucial encore, THE lui-même a un plafond d'approvisionnement (supply cap).

Normalement, cela limiterait la capacité de l'attaquant à augmenter sa position. Mais il a utilisé une technique classique pour contourner cela : l'attaque par donation (donation attack) des forks de Compound. C'est-à-dire qu'après avoir déposé une grande quantité de THE, il a directement transféré des THE au contrat vTHE, « faisant un don » pour continuer à augmenter la valeur de collatéral reconnue par le système, franchissant ainsi davantage la limite.

Transaction de l'attaque : 0x4f477e941c12bbf32a58dc12db7bb0cb4d31d41ff25b2457e6af3c15d7f5663f

Après la première vague de l'attaque, le prix de THE s'est à peu près stabilisé autour de 0,5 $.

En fait, à ce stade, l'attaquant aurait pu partir avec les actifs empruntés. Mais il voulait visiblement maximiser ses profits, il a donc continué à utiliser les actifs empruntés pour acheter THE, essayant de provoquer une autre hausse.

Le problème est survenu : Bien que le prix soit anormalement élevé, la pression de vente du marché est également devenue extrêmement forte. L'attaquant a continué à acheter, mais n'a plus vraiment réussi à faire monter le prix. Jusqu'à ce qu'il ait finalement presque épuisé sa capacité de collateralisation, et le facteur de santé de sa position a été ramené à près de 1, au bord de la liquidation.

À ce moment, la situation était très claire : Les garanties détenues par l'attaquant, comprenant les actifs préparés à l'avance et les THE achetés pendant l'attaque, avaient une valeur nominale d'environ 30 M$. Mais le problème central de ces garanties était qu'elles n'avaient tout simplement pas assez de liquidités pour être absorbées. Une fois la liquidation commencée, ces THE ne pourraient être que massivement jetés sur le marché. Et sur le marché, il était impossible que quelqu'un absorbe un volume aussi important à un prix aussi artificiellement élevé.

Alors, qu'ai-je fait ?

Au début de la liquidation, j'ai directement pris une position short sur THE. Et on pouvait même utiliser un levier relativement plus élevé à ce niveau.

La raison est simple : Valorisation élevée, faible liquidité, pression de vente passive à grande échelle, absence d'acheteurs.

Le résultat n'a pas été une surprise : Après la liquidation, le prix de THE est redescendu à environ 0,24 $, voire en dessous du prix d'avant l'attaque, car les détenteurs originaux ont également vendu pendant le processus.

J'ai clôturé ma position short à ce niveau, réalisant un profit d'environ 15 K$.

Finalement, Venus a subi une perte (bad debt) d'environ 2 M$.

Quant à savoir combien l'attaquant a réellement gagné, je n'ai pas encore fait de calcul complet ; mais en regardant les opérations de certaines adresses, il est très probable qu'il n'ait presque rien gagné, voire qu'il se soit lui-même mis en difficulté. Mais l'attaquant pourrait toujours avoir des positions perpétuelles hors chaîne (perp) pour gagner de l'argent (comme notre opération).

Adresse de la perte d'environ 2 M$ de Venus : https://debank.com/profile/0x1a35bd28efd46cfc46c2136f878777d69ae16231

Cet événement démontre encore une fois :

Dans la DeFi, la « valeur de collatéral nominale » n'est pas égale à la « valeur liquidable ». Lorsque le collatéral lui-même n'a pas de liquidités, le système voit 30 M$, mais ce que le marché peut réellement réaliser est probablement bien inférieur.

J'ai publié un article en 23, intitulé Unmasking Role-Play Attack Strategies in Exploiting Decentralized Finance (DeFi) Systems, qui modélise mathématiquement en détail cette attaque. Les lecteurs intéressés peuvent s'y référer : https://dl.acm.org/doi/10.1145/3605768.3623545

Questions liées

QQuel type d'attaque a été utilisé contre Venus V, et en quoi consiste-t-elle ?

AL'attaque était une manipulation de prix de type Mango Markets. L'attaquant a utilisé un actif à faible liquidité (THE) comme collatéral, a emprunté d'autres actifs, a racheté du THE pour faire monter son prix, et a attendu que l'oracle mette à jour le prix moyen pour obtenir une valeur de collatéral plus élevée, répétant ce cycle pour amplifier son levier.

QComment l'attaquant a-t-il contourné le plafond d'approvisionnement (supply cap) de THE ?

AL'attaquant a utilisé une technique classique appelée « donation attack ». Après avoir déposé une grande quantité de THE, il a effectué un transfert direct de THE au contrat vTHE, « faisant un don » pour augmenter artificiellement la valeur du collatéral reconnue par le système et ainsi dépasser la limite imposée par le plafond.

QPourquoi l'auteur de l'article a-t-il pris une position short (vendeuse) sur THE ?

AL'auteur a pris une position short parce que la valeur nominale du collatéral de l'attaquant (environ 30M$) était bien supérieure à sa valeur liquidative réelle. Le marché n'avait pas la liquidité nécessaire pour absorber une telle quantité de THE aux prix gonflés artificiellement, ce qui rendait une chute brutale du prix inévitable lors des liquidations.

QQuel a été le résultat final de cette attaque pour le protocole Venus ?

ALe protocole Venus a subi une perte (bad debt) d'environ 2 millions de dollars à la suite de cette attaque, car la valeur récupérée lors des liquidations n'a pas couvert les emprunts effectués par l'attaquant.

QQuel concept clé de la DeFi cet incident met-il en évidence selon l'auteur ?

ACet incident souligne que dans la DeFi, la « valeur de collatéral nominale » n'est pas égale à la « valeur de collatéral liquidative ». Lorsqu'un actif utilisé comme garantie manque de liquidités, le système peut lui attribuer une valeur élevée, mais le marché est incapable de l'échanger à ce prix, ce qui peut entraîner des pertes importantes pour le protocole.

Lectures associées

« La reine des mines » Lyu Yongshuang : Elle contrôlait 9 % de la puissance de minage mondiale du Bitcoin, mais s'est fait escroquer de 60 millions de yuans aux États-Unis par un « prince consort du Moyen-Orient »

L'article retrace l'ascension et les déboires de Lyu Yongshuang (Fiona Lyu), une entrepreneure chinoise surnommée la « reine du minage ». Fondatrice de Valarhash, elle dirigeait les pools miniers 1THash et Bytepool, qui contrôlaient ensemble environ 9% de la puissance de calcul mondiale du Bitcoin à leur apogée en 2020. En 2021, l'interdiction du minage en Chine a forcé son entreprise à déménager à l'étranger. Alors qu'elle cherchait à s'installer aux États-Unis, elle a été victime d'une escroquerie complexe. Deux frères, Zubair et Muzamil Al Zubair, se faisant passer pour un membre de la royauté moyen-orientale et un gestionnaire de fonds, l'ont persuadée d'investir dans un projet de centre minier à East Cleveland, Ohio. Ils ont organisé une cérémonie de signature officielle en corrompant un assistant du maire. Lyu Yongshuang a perdu plus de 9,4 millions de dollars (environ 60 millions de RMB) dans cette arnaque, dont le prix d'un contrat et la valeur de 1067 mineurs revendus au Canada. Les escrocs ont été condamnés à de longues peines de prison en 2026. Parallèlement, en Chine, sa société a été poursuivie par une filiale du groupe coté ST Zhongchang pour un contrat de services lié au minage. Les tribunaux ont invalidé le contrat, jugeant l'activité illicite, et ont ordonné à sa société de rembourser près de 19,3 millions de RMB. Ces deux revers juridiques, aux États-Unis et en Chine, marquent un tournant dramatique pour cette figure autrefois puissante de l'industrie cryptographique.

marsbitIl y a 9 mins

« La reine des mines » Lyu Yongshuang : Elle contrôlait 9 % de la puissance de minage mondiale du Bitcoin, mais s'est fait escroquer de 60 millions de yuans aux États-Unis par un « prince consort du Moyen-Orient »

marsbitIl y a 9 mins

Lancez les dés, gagnez des BTC ! WEEX lance « Coupe du Monde × Monopoly » avec des millions d'USDT à gagner

L'été 2026 marque le début de la Coupe du Monde de la FIFA, la plus grande de l'histoire, co-organisée par les États-Unis, le Canada et le Mexique avec 48 équipes et 104 matchs. Alors que la fièvre du football s'empare du monde, la plateforme de trading crypto WEEX, partenaire officiel de LALIGA à Taiwan et Hong Kong, lance une grande promotion thématique « Coupe du Monde x Monopoly : Gagnez des millions d'USDT ». Cette campagne, du 11 juin au 20 juillet, combine un jeu de plateau Monopoly en 3D avec des récompenses liées au football. Les utilisateurs gagnent des dés en réalisant des tâches : inscription, dépôt d'au moins 100 USDT, trading de contrats ou au spot (WXT), utilisation de dés ou parrainage. En lançant les dés sur le plateau, les joueurs obtiennent des récompenses comme des airdrops de BTC, ETH, USDT, des crédits d'expérience ou des dés supplémentaires. Ils accumulent également des points en jouant et en accomplissant des missions hebdomadaires. Ces points débloquent des récompenses par paliers (jusqu'à 1 000 USDT) et peuvent être utilisés pour parier sur les matchs de la Coupe du Monde via un système de cotes dynamiques, où les équipes moins populaires offrent des gains potentiels plus élevés. Un classement en temps réel est disponible sur le site de WEEX pour garantir la transparence. L'échange invite les utilisateurs à rejoindre cette fusion entre passion footballistique et opportunités Web3.

marsbitIl y a 14 mins

Lancez les dés, gagnez des BTC ! WEEX lance « Coupe du Monde × Monopoly » avec des millions d'USDT à gagner

marsbitIl y a 14 mins

Les nouveaux princes de l'IA, des compagnons à 5000 $ de l'heure, la Silicon Valley en 2026 et la Ville de Nuit en 2077

La Silicon Valley voit émerger une nouvelle classe de jeunes riches de l'IA qui paient 3 000 à 6 000 dollars de l'heure pour une compagnie intellectuelle et émotionnelle. L'IA, avec les introductions en bourse d'OpenAI et d'Anthropic, a revitalisé San Francisco, faisant monter les loyers et recentrant la ville autour de cette élite technologique. Comme lors de la ruée vers l'or, cette nouvelle richesse crée des marchés de niche. Des femmes comme Meida Marek ou Ada Hopper proposent une écoute experte sur l'IA, le biohacking ou la longévité, comblant une profonde solitude chez des technologues jeunes, riches mais socialement isolés. Leurs dépenses reflètent des priorités atypiques : optimisation du corps, régimes scientifiques et modèles d'IA locaux plutôt que signes extérieurs de richesse. Pendant ce temps, le coût de la vie exclut progressivement les travailleurs moins privilégiés vers Oakland ou au-delà. Cet écart croissant entre une élute qui optimise tout, y compris les relations humaines via des services onéreux, et une majorité qui lutte pour rester, dessine une réalité proche du cyberpunk : une société à la technologie élevée mais aux profondes inégalités sociales, où San Francisco commence à ressembler à la Night City de 2077.

marsbitIl y a 19 mins

Les nouveaux princes de l'IA, des compagnons à 5000 $ de l'heure, la Silicon Valley en 2026 et la Ville de Nuit en 2077

marsbitIl y a 19 mins

Carte globale de l'IA décentralisée en 2026 : pourquoi la blockchain est-elle l'« antidote » incontournable de l'IA ?

La DeFi IA en 2026 : Pourquoi la blockchain est-elle l'antidote incontournable à l'IA centralisée ? L'IA décentralisée émerge en réponse aux limites structurelles de l'IA centralisée : pénurie et coût élevé des ressources de calcul (GPU), contrôle excessif par quelques entreprises, impossibilité de vérifier les résultats des modèles, et difficultés croissantes d'accès aux données d'entraînement. La blockchain permet de rendre l'intelligence ouverte, vérifiable et économiquement accessible. La pile technologique se structure en trois couches : 1. **Infrastructure** : Calcul, inférence et stockage décentralisés (Akash, Render, Filecoin), avec des couches de confidentialité et de vérification (Nillion, Arcium, Phala Network). 2. **Middleware** : Coordination, identité et marchés pour agents autonomes. Bittensor se distingue avec son réseau de sous-réseaux spécialisés formant une économie minière compétitive. 3. **Applications** : Deux cas d'usage dominants : * **Finance agentique** : Des agents (comme ARMA, Infinit_Labs) traduisent des intentions en actions DeFi sur plusieurs chaînes. * **Paiements agentiques** : Des protocoles comme x402 et Machine Payments Protocol deviennent la couche de règlement pour les transactions machine-à-machine autonomes. Les tendances pour 2026-2027 indiquent une croissance soutenue, où l'IA agentique est un moteur clé. Le calcul devient une classe d'actifs, et la tokenomics un avantage structurel pour coordonner capitaux, calculs et données. Le domaine, bien que précoce et inégal, évolue d'un récit spéculatif vers un nouveau modèle économique, avec des projets comme Bittensor, NEAR ou Base en tête.

Foresight NewsIl y a 21 mins

Carte globale de l'IA décentralisée en 2026 : pourquoi la blockchain est-elle l'« antidote » incontournable de l'IA ?

Foresight NewsIl y a 21 mins

Crypto Criminals In Crosshairs As Chainalysis Partners With South Korean Police

La police nationale sud-coréenne intensifie sa lutte contre la criminalité liée aux cryptomonnaies en signant un protocole d'accord avec la société d'analyse blockchain Chainalysis. Ce partenariat vise à renforcer les capacités d'enquête de l'agence policière (KNPA) grâce à des programmes de formation, de certification et un soutien pratique spécialisés. Cette collaboration intervient dans un contexte d'augmentation significative des vols de cryptomonnaies, notamment attribués à la Corée du Nord, avec des pertes s'élevant à près de 580 millions de dollars dès début 2026. Bien que ces menaces étatiques soient une priorité, l'objectif déclaré est plus large : développer durablement les compétences institutionnelles pour traiter tous les crimes d'actifs virtuels, du blanchiment d'argent aux escroqueries. Cette initiative fait suite à la création, en mai, d'une unité spéciale dédiée à l'éradication du blanchiment d'argent via les cryptomonnaies. Elle s'appuie également sur une collaboration antérieure réussie avec Chainalysis, ayant permis le démantèlement d'un réseau de hackers internationaux. L'ambition est de doter les enquêteurs sud-coréens d'une visibilité mondiale sur les flux de fonds illicites à travers les blockchains, afin de les outiller de manière pérenne contre cette criminalité en expansion.

bitcoinistIl y a 27 mins

Crypto Criminals In Crosshairs As Chainalysis Partners With South Korean Police

bitcoinistIl y a 27 mins

Trading

Spot

Futures