Protocolo Venus Congela Siete Mercados Luego de Un Exploit de $3.7M a Través del Token THE de Baja Liquidez de THENA

Venus Protocol, el mercado de préstamos más grande en BNB Chain, sufrió una explotación de 3.7 millones de dólares el 15 de marzo de 2026, después de que un atacante manipulara el precio del token THE de baja liquidez de THENA mediante un ataque de “límite de suministro” de nueve meses.

El incidente, que dejó al protocolo con una deuda incobrable estimada en 2.15 millones de dólares, llevó a Venus a reducir los factores de colateral a cero en siete mercados adicionales como medida de precaución contra el riesgo de concentración.

El atacante, financiado con 7,400 ETH de Tornado Cash, un mezclador de criptomonedas, explotó la escasa liquidez de THE en Venus para inflar su precio de 0.27 dólares a casi 5 dólares antes de que la liquidación provocara un colapso a 0.24 dólares.

Metodología del Ataque: Acumulación de Nueve Meses y Manipulación de Oráculos

Investigadores de seguridad y el gestor de riesgos de Venus, Allez Labs, han detallado el mecanismo sofisticado detrás de la explotación, que evitó las medidas de seguridad del protocolo mediante una estrategia en varias fases.

La fase de acumulación ‘Lenta y Segura’

Desde junio de 2025, el atacante acumuló gradualmente tokens THE a través de canales de depósito normales durante aproximadamente nueve meses. Esta estrategia le permitió acumular el 84% del límite de suministro—aproximadamente 12.2 millones de THE—sin activar alertas de riesgo estándar.

Bypass del límite de suministro mediante transferencia directa

El 15 de marzo, el atacante ejecutó la explotación transfiriendo los tokens THE directamente al contrato vTHE en lugar de depositarlos mediante el proceso estándar de acuñación. Esta técnica de “ataque de donación”, una vulnerabilidad conocida en protocolos derivados de Compound, infló instantáneamente el suministro reconocido a 3.67 veces el límite, creando una base de colateral masiva.

Manipulación recursiva del precio

Con una posición de colateral sobredimensionada, el atacante explotó la liquidez extremadamente baja de THE en cadena junto con los retrasos del oráculo TWAP (Precio Promedio Ponderado en el Tiempo). Inició un ciclo recursivo:

• Depositar colateral inflado en THE

• Pedir prestado otros activos (incluyendo BTCB, CAKE y BNB)

• Usar los fondos prestados para comprar más THE en cadena

• Esperar a que el oráculo TWAP actualice y refleje los precios manipulados más altos

El atacante logró pedir prestado aproximadamente 6.67 millones de CAKE, 2,801 BNB, 1.58 millones de USDC y 20 BTCB antes de que se activaran los mecanismos de liquidación.

Mitigación de Riesgos de Emergencia: Congelación de Colateral en Siete Mercados

En respuesta a la explotación y para contener posibles riesgos sistémicos, Venus Protocol implementó cambios de parámetros de emergencia dirigidos a mercados con alta concentración de colateral.

Mercados afectados por la congelación preventiva

Venus redujo el factor de colateral (CF) a cero en siete mercados identificados como vulnerables debido a que la concentración de colateral de un solo usuario superaba el 60%:

Mercado

Acción Tomada

Justificación

BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD

Factor de Colateral reducido a 0

Riesgo alto de concentración; un solo usuario tenía una proporción excesiva de colateral

Todos los demás mercados de Venus permanecen operativos y no se vieron afectados por las medidas preventivas.

Criterios de vulnerabilidad del mercado

La congelación se dirigió a mercados caracterizados por:

• Capitalización de mercado menor a 2 mil millones de dólares

• Volumen de comercio diario inferior a 100 millones de dólares

• Valor Total Bloqueado (TVL) en DEX menor a 40 millones de dólares

• Concentración de colateral de un solo usuario superior al 60%

Impacto del Incidente y Contexto del Protocolo

La explotación se suma a una historia de desafíos de seguridad para Venus Protocol, que ha acumulado deuda incobrable desde incidentes anteriores desde 2021.

Acumulación histórica de deuda incobrable

• Manipulación de XVS en 2021: más de 95 millones de dólares en deuda incobrable por manipulación del precio del token XVS de Venus

• Colapso Terra/LUNA en 2022: 14 millones de dólares en deuda incobrable

• Hackeo del puente BNB Chain en 2022: BNB robados usados para pedir prestado 150 millones de dólares en stablecoins

• Ataque de donación en febrero de 2025: 700,000 dólares en deuda incobrable en la implementación de Venus en ZKSync mediante mecánicas idénticas

El valor total bloqueado (TVL) del protocolo ha caído de un pico de 7 mil millones de dólares a aproximadamente 1.47 mil millones tras estos incidentes.

THENA ha confirmado que sus contratos inteligentes no fueron vulnerados en el ataque y que los fondos de los usuarios en su plataforma permanecen seguros.

Investigación en curso y futuros informes

Venus Protocol ha declarado su compromiso con la transparencia, confirmando que se publicará un informe completo de análisis una vez finalizada la investigación.

Allez Labs, socio en gestión de riesgos de Venus, continúa analizando el vector del ataque y ha compartido hallazgos preliminares que detallan el proceso de explotación en cuatro etapas.

Preguntas frecuentes

¿Qué es un ‘ataque de límite de suministro’ en préstamos DeFi?

Un ataque de límite de suministro evade el mecanismo de seguridad del protocolo que limita la cantidad máxima de un solo activo que puede usarse como colateral. En este incidente, el atacante evitó el límite de suministro de Venus transfiriendo los tokens THE directamente al contrato del protocolo en lugar de depositarlos por canales estándar. Esto le permitió crear una posición de colateral 3.67 veces mayor que el límite previsto, que luego utilizó para pedir prestados activos en exceso tras manipular el oráculo de precios.

¿Qué activos fueron robados en la explotación de Venus Protocol?

El atacante tomó prestado aproximadamente 5.07 millones de dólares en activos usando el colateral inflado de THE. Esto incluyó 2,172 BNB, 1.516 millones de tokens CAKE y 20 BTCB. Sin embargo, los procesos de liquidación en cadena dejaron al protocolo con una deuda incobrable estimada en 2.15 millones de dólares, que comprende aproximadamente 1.18 millones de CAKE y 1.84 millones de THE que no fueron reembolsados.

¿Cómo respondió Venus Protocol a la explotación?

Venus Protocol tomó medidas de emergencia inmediatas pausando todos los préstamos y retiros de tokens THE. Como medida preventiva más amplia contra el riesgo de concentración, el protocolo redujo los factores de colateral a cero en siete mercados adicionales: Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL), Trust Wallet Token (TWT) y lisUSD. Todos los demás mercados continúan operando normalmente.