La plataforma de préstamos BNB Chain Venus Protocol sufrió el 16 de marzo un ataque cuidadosamente planificado que explotó una vulnerabilidad en el límite de suministro. Los hackers, tras pasar 9 meses acumulando lentamente fondos y manipulando el precio del token THE, desencadenaron una serie de liquidaciones en cadena, dejando una deuda incobrable de aproximadamente 2,15 millones de dólares y logrando extraer unos 5,07 millones de dólares en activos.
(Resumen previo: el hacker de BNB casi liquida 200 millones de dólares; Venus: la autoridad de BNB Chain «tomará el control de las posiciones»)
(Información adicional: investigación | ataques más comunes en modelos económicos DeFi: manipulación de precios, errores en los oráculos, liquidaciones con apalancamiento)
Índice del artículo
Toggle
- Cronología del ataque: 9 meses de preparación, 40 minutos de ejecución
- Resultados: extracción de 5,07 millones de dólares, deuda incobrable de 2,15 millones de dólares
- Respuesta de emergencia de Venus: eliminación de los factores de colateral en 7 mercados
El 16 de marzo, Venus Protocol, uno de los principales protocolos de préstamos en BNB Chain, fue víctima de un ataque meticuloso que duró 9 meses. Tras obtener fondos mediante Tornado Cash, los hackers manipularon el precio del token THE (el token nativo de Thena), de baja liquidez, lo que provocó una cadena de liquidaciones en cadena. Como resultado, la plataforma acumuló una deuda incobrable de aproximadamente 2,15 millones de dólares, mientras que los atacantes lograron retirar unos 5,07 millones de dólares en activos, con beneficios reales potencialmente mayores.
Cronología del ataque: 9 meses de preparación, 40 minutos de ejecución
Una cartera que recibió 7,447 ETH (unos 16,29 millones de dólares) a través de Tornado Cash, con dirección «0x7a7», ha sido identificada por investigadores en blockchain como el cerebro detrás del ataque.
El ataque se dividió en dos fases:
- Preparación a largo plazo (desde junio de 2025): Los atacantes, mediante depósitos normales, acumularon lentamente tokens THE en Venus, llegando a poseer aproximadamente el 84% del límite de suministro del protocolo (unos 12,2 millones de tokens).
- Ejecución en el día (unos 40 minutos): Usaron ETH como colateral en Aave para pedir prestado 992 millones de dólares en stablecoins, y en exchanges centralizados compraron grandes cantidades de THE, aparentemente para elevar el precio spot; simultáneamente, transfirieron 36,1 millones de tokens THE al contrato del protocolo, aumentando instantáneamente la oferta en la cadena.
Luego, activaron un ciclo recursivo: depositar THE → pedir prestado otros activos → usar esos activos para seguir comprando THE en la cadena → esperar la actualización retrasada del oráculo TWAP, que pasivamente elevaba el precio → repetir.
Durante este proceso, el precio spot de THE subió de $0.263 a $0.563, más del doble. Tras unos 40 minutos, el precio colapsó a $0.22, desencadenando una serie de liquidaciones en cadena.
Resultados: extracción de 5,07 millones de dólares, deuda incobrable de 2,15 millones de dólares
Finalmente, los atacantes pidieron prestado y retiraron:
- 2,172 tokens BNB
- 151,600 tokens CAKE
- 20 BTC
Venus sufrió una deuda incobrable compuesta por aproximadamente 118,000 tokens CAKE y 184,000 tokens THE, valorados en unos 2,15 millones de dólares en total. Investigadores en blockchain señalan que las posiciones cortas en THE en exchanges centralizados podrían haber generado beneficios adicionales, por lo que las ganancias reales podrían ser mucho mayores que las cifras en cadena.
Este método de ataque corresponde a la vulnerabilidad conocida como «supply cap donation attack» —según reporta CoinTelegraph, se trata de una vulnerabilidad conocida que permite evadir el límite de suministro en protocolos derivados de Compound. Como Venus es una bifurcación de Compound, también presenta esta vulnerabilidad.
Respuesta de emergencia de Venus: eliminación de los factores de colateral en 7 mercados
«Venus siempre se compromete con la transparencia. Tras finalizar la investigación, publicaremos un informe completo.» — Anuncio oficial de Venus Protocol
Venus ha informado que, además de suspender previamente los préstamos y retiros de THE, ha reducido a cero el factor de colateral (Collateral Factor) en los siguientes 7 mercados como medida preventiva, dirigida a mercados donde un solo usuario tenga una proporción excesiva de colateral:
- BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD
El protocolo enfatiza que todos los demás mercados, fuera de estos 7, permanecen sin afectar y continúan operando normalmente. El informe completo se publicará tras concluir la investigación.
Este incidente vuelve a evidenciar los riesgos estructurales en los protocolos DeFi de préstamos, especialmente cuando se combinan tokens con baja liquidez y retrasos en los oráculos TWAP — cuando los atacantes tienen suficiente tiempo y fondos para acumular lentamente, las protecciones tradicionales basadas en límites de suministro quedan virtualmente ineficaces.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
