Acordo de empréstimo da BNB Chain, Venus Protocol, sofreu uma ataque cuidadosamente planejado explorando uma vulnerabilidade no limite de fornecimento em 16 de março. Os hackers passaram 9 meses acumulando lentamente posições e manipulando o preço do token THE, antes de desencadear uma série de liquidações em cadeia, resultando na perda de aproximadamente 5,07 milhões de dólares em ativos, além de deixar uma dívida incobrável de 2,15 milhões de dólares.
(Prelúdio: o hacker da BNB quase liquidou 200 milhões de dólares, Venus: a equipe oficial da BNB Chain irá “assumir as posições”)
(Informação adicional: Pesquisa | Os ataques mais comuns aos modelos econômicos DeFi: manipulação de preços, erros em oráculos, liquidações por alavancagem)
Índice deste artigo
Toggle
- Cronologia do ataque: 9 meses de preparação, 40 minutos de execução
- Resultados: retirada de 5,07 milhões de dólares, dívida incobrável de 2,15 milhões de dólares
- Resposta emergencial do Venus: zerar os fatores de garantia de 7 mercados
Em 16 de março, o principal protocolo de empréstimo da BNB Chain, Venus Protocol, foi alvo de um ataque meticuloso que durou 9 meses. Após obter fundos via Tornado Cash, os hackers manipularam o preço do THE (token nativo da Thena), de baixa liquidez, desencadeando uma série de liquidações em cadeia, causando uma dívida incobrável de aproximadamente 2,15 milhões de dólares na plataforma. Os hackers, por sua vez, conseguiram retirar cerca de 5,07 milhões de dólares em ativos, com lucros reais potencialmente ainda maiores.
Cronologia do ataque: 9 meses de preparação, 40 minutos de execução
Um endereço de carteira que recebeu 7.447 ETH (cerca de 16,29 milhões de dólares) via Tornado Cash, identificado como “0x7a7”, foi detectado por pesquisadores on-chain como o responsável pelo ataque.
O ataque ocorreu em duas fases:
- Preparação de longo prazo (a partir de junho de 2025): os atacantes, usando processos normais de depósito, acumularam lentamente tokens THE na Venus, chegando a possuir cerca de 84% do limite de fornecimento do protocolo (aproximadamente 12,2 milhões de tokens).
- Explosão no dia (aproximadamente 40 minutos): usando ETH como garantia na Aave, os hackers tomaram emprestado 992 milhões de dólares em stablecoins, além de acumular大量 THE em exchanges centralizadas, possivelmente para elevar o preço à vista; ao mesmo tempo, transferiram 36,1 milhões de THE diretamente para o contrato do protocolo, inflando instantaneamente a oferta on-chain.
Depois, iniciaram um ciclo recursivo: depositar THE → emprestar outros ativos → usar esses ativos para comprar mais THE na cadeia → aguardar a atualização atrasada do oráculo TWAP, elevando o preço passivamente → repetir.
Durante esse processo, o preço à vista do THE subiu de $0,263 para $0,563, mais que dobrando. Após cerca de 40 minutos, o preço caiu para $0,22, acionando uma série de liquidações em cadeia.
Resultados: retirada de 5,07 milhões de dólares, dívida incobrável de 2,15 milhões de dólares
Ao final, os hackers tomaram emprestado e retiraram:
- 2.172 tokens BNB
- 151.600 tokens CAKE
- 20 tokens BTC
Como consequência, a Venus assumiu uma dívida incobrável composta por aproximadamente 118 mil tokens CAKE e 184 mil tokens THE, totalizando cerca de 2,15 milhões de dólares. Pesquisadores on-chain apontam que posições vendidas de THE em exchanges centralizadas podem gerar lucros adicionais, fazendo com que os ganhos reais sejam possivelmente muito superiores aos números on-chain.
Este método de ataque é uma variação conhecida como “supply cap donation attack” — segundo o CoinTelegraph, trata-se de uma vulnerabilidade conhecida que permite contornar o limite de fornecimento do protocolo, uma falha inerente ao Venus, que é um fork do Compound e possui essa vulnerabilidade.
Resposta emergencial do Venus: zerar os fatores de garantia de 7 mercados
“Venus sempre se compromete com a transparência, e após a investigação será divulgado um relatório completo.” — Anúncio oficial do Venus Protocol
A equipe do Venus afirmou que, além de já terem suspendido temporariamente os empréstimos e saques de THE, os seguintes 7 mercados tiveram seus fatores de garantia (Collateral Factor) zerados como medida de precaução contra mercados com alta proporção de garantias por usuário:
- BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD
O protocolo reforça que todos os demais mercados fora desses 7 continuam operando normalmente. Um relatório completo será divulgado após a conclusão da investigação.
Este incidente evidencia mais uma vez os riscos estruturais dos protocolos DeFi de empréstimo, especialmente na combinação de tokens de baixa liquidez e atrasos nos oráculos TWAP — quando os atacantes têm tempo e fundos suficientes para acumular lentamente posições, as proteções tradicionais de limite de fornecimento se tornam ineficazes.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
