Le protocole de prêt BNB Chain Venus Protocol a été victime, le 16 mars, d’une attaque soigneusement planifiée exploitant une vulnérabilité dans la limite d’approvisionnement. Après avoir passé 9 mois à accumuler lentement des positions et à manipuler le prix du token THE, les hackers ont déclenché une série de liquidations en chaîne, laissant un mauvais crédit d’environ 2,15 millions de dollars et retirant environ 5,07 millions de dollars d’actifs.
(Précédent : le hacker de BNB est proche de la liquidation de 200 millions de dollars, Venus : l’équipe officielle de BNB Chain « prendra en charge la position »)
(Contexte supplémentaire : étude | Les attaques les plus courantes sur les modèles économiques DeFi : manipulation de prix, erreurs de oracles, liquidations à effet de levier)
Table des matières
Toggle
- Chronologie de l’attaque : 9 mois de préparation, 40 minutes pour l’exécution
- Résultats : retrait de 5,07 millions de dollars, mauvais crédit de 2,15 millions de dollars
- Réponse d’urgence de Venus : mise à zéro des facteurs de collatéral de 7 marchés
Le 16 mars, le protocole de prêt de premier plan sur BNB Chain, Venus Protocol, a été victime d’une attaque sophistiquée planifiée sur 9 mois. Après avoir obtenu des fonds via Tornado Cash, les hackers ont manipulé le prix du THE (jeton natif de Thena) à faible liquidité, déclenchant une série de liquidations en chaîne, ce qui a entraîné un mauvais crédit d’environ 2,15 millions de dollars pour le protocole. Les hackers ont eux-mêmes retiré environ 5,07 millions de dollars d’actifs, avec des gains réels probablement supérieurs.
Chronologie de l’attaque : 9 mois de préparation, 40 minutes pour l’exécution
Une adresse de portefeuille ayant reçu 7 447 ETH (environ 16,29 millions de dollars) via Tornado Cash, « 0x7a7 », a été identifiée par des chercheurs en blockchain comme étant le cerveau derrière l’attaque.
L’attaque s’est déroulée en deux phases :
- Préparation à long terme (depuis juin 2025) : l’attaquant, via un processus de dépôt normal, a lentement accumulé des tokens THE sur Venus, finissant par détenir 84 % du plafond d’approvisionnement du protocole (environ 12,2 millions de tokens).
- Déclenchement le jour J (environ 40 minutes) : l’attaquant a utilisé ETH comme garantie sur Aave pour emprunter 9,92 millions de dollars en stablecoins, puis a massivement accumulé THE sur une plateforme centralisée, suspectée de faire monter le prix spot ; simultanément, il a transféré 36,1 millions de THE directement dans le contrat du protocole, augmentant instantanément l’offre sur la blockchain.
Ensuite, il a lancé une boucle récursive : déposer THE → emprunter d’autres actifs → utiliser ces actifs pour continuer à acheter THE sur la blockchain → attendre la mise à jour retardée de l’oracle TWAP, ce qui fait monter le prix passivement → répéter.
Au cours de ce processus, le prix spot de THE est passé de 0,263 $ à 0,563 $, plus que doublant. Après environ 40 minutes, le prix s’est effondré à 0,22 $, déclenchant une série de liquidations en chaîne.
Résultats : retrait de 5,07 millions de dollars, mauvais crédit de 2,15 millions de dollars
L’attaquant a finalement emprunté et retiré :
- 2 172 BNB
- 151 600 CAKE
- 20 BTC
Venus a ainsi subi un mauvais crédit composé d’environ 118 000 CAKE et 1 84 000 THE, pour un total d’environ 2,15 millions de dollars. Des chercheurs en blockchain ont noté que la position short THE de l’attaquant sur une plateforme centralisée pourrait générer des gains supplémentaires, rendant le profit réel potentiellement bien supérieur aux chiffres visibles sur la blockchain.
Cette méthode d’attaque appartient à la catégorie connue de « supply cap donation attack » — selon CoinTelegraph, il s’agit d’une vulnérabilité connue permettant de contourner la limite d’approvisionnement d’un fork de Compound. En tant que branche de Compound, Venus possède cette faille en tant que vecteur d’attaque.
Réponse d’urgence de Venus : mise à zéro des facteurs de collatéral de 7 marchés
« Venus s’engage toujours à la transparence. Un rapport complet sera publié après l’achèvement de l’enquête. » — déclaration officielle de Venus Protocol
Venus a indiqué qu’en plus de la suspension précédente des emprunts et retraits de THE, elle a désormais réduit à zéro le facteur de collatéral (Collateral Factor) pour les 7 marchés suivants afin de prévenir toute concentration excessive de collatéral par un seul utilisateur :
- BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD
Le protocole souligne que tous les autres marchés, en dehors de ces 7, n’ont pas été affectés et continuent de fonctionner normalement. Le rapport complet sera publié une fois l’enquête terminée.
Cet incident met une nouvelle fois en lumière le risque structurel inhérent aux protocoles DeFi de prêt, notamment lorsque des tokens à faible liquidité et des oracles TWAP retardés sont combinés — lorsque l’attaquant dispose de suffisamment de temps et de fonds pour accumuler lentement des positions, la protection par limite d’approvisionnement devient inefficace.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
