Autor: Gu Yù, ChainCatcher
Hackers são os inimigos mortais de qualquer protocolo DeFi. A maioria dos protocolos DeFi, após sofrerem perdas de milhões de dólares devido a ataques, entram em declínio e desaparecem. No entanto, como o principal protocolo de empréstimos da BNB Chain e projeto incubado pela Binance, o Venus Protocol é claramente uma exceção rara.
O Venus foi inicialmente desenvolvido pela equipe Swipe, adquirida pela Binance, e lançado na BNB Chain em fevereiro de 2020. Rapidamente tornou-se o maior protocolo de empréstimos na BNB Chain em termos de ativos bloqueados e número de utilizadores. Segundo o RootData, atualmente o token Venus tem um FDV de 94 milhões de dólares e um TVL de 1,47 mil milhões de dólares.
Recentemente, o Venus voltou a ser alvo de ataques de hackers. De acordo com a revisão da equipa oficial, os atacantes começaram a acumular lentamente tokens THE a partir de junho de 2025, através do processo normal de depósito, até possuírem cerca de 12,2 milhões de THE, avaliados em 2,4 milhões de dólares.
Em 15 de março, o ataque depositou todos os tokens THE como garantia no contrato de empréstimo, aproveitando a baixa liquidez na cadeia e a latência do oráculo TWAP para manipular recursivamente o preço, emprestando ativos como BTC, BNB, CAKE, no valor de milhões de dólares.
Com a queda do preço do THE, desencadeando liquidações em cadeia, o incidente resultou em aproximadamente 2,15 milhões de dólares em dívidas incobráveis na Venus. Ao longo dos anos, a Venus foi alvo de ataques quase anuais, especialmente ataques a oráculos, acumulando mais de 100 milhões de dólares em dívidas incobráveis.
Incidente de manipulação de preço do oráculo XVS
Em maio de 2021, um atacante explorou a baixa liquidez na Binance, usando o token XVS numa exchange centralizada, para elevar o preço de cerca de 70 dólares para mais de 140 dólares em pouco tempo. Depois, usou o XVS como garantia para emprestar grandes quantidades de ativos de alta qualidade na Venus (cerca de 2000 BTC e 5700 ETH).
Após a queda abrupta do preço do XVS para 31 dólares, foram desencadeadas liquidações em massa. A liquidez do mercado não suportou a venda massiva, levando a dívidas incobráveis superiores a 95 milhões de dólares na Venus.
Após o incidente, a equipe Swipe saiu da gestão do protocolo, que passou a ser gerido por um novo conselho formado pela comunidade, embora ainda com fortes ligações à Binance.
Queda do LUNA
Em maio de 2022, durante o colapso do LUNA, o preço real caiu rapidamente abaixo de 0,1 dólares. Como o oráculo Chainlink parou de atualizar o preço após atingir esse limite, a Venus continuou a aceitar LUNA como garantia a um preço incorreto de 0,1 dólares.
O atacante, ao descobrir a vulnerabilidade, comprou LUNA a preços baixos no mercado secundário, depositou na Venus e usou o valor inflacionado como garantia para emprestar outros ativos, gerando mais de 11,2 milhões de dólares em dívidas incobráveis.
Incidente com a Binance Oracle
Em dezembro de 2023, devido ao uso do oráculo Binance na pool de empréstimo de snBNB de baixa liquidez, um atacante comprou snBNB numa pool extremamente pequena na PancakeSwap. Devido à profundidade fraca, o preço do snBNB foi instantaneamente inflacionado a níveis absurdos.
O atacante depositou 0,49 snBNB e emprestou quase todos os ativos disponíveis na pool (incluindo WBNB, BNBx, ankrBNB), no valor de cerca de 274 mil dólares, e posteriormente lavou os fundos através de uma ponte cross-chain. A governança da Venus aprovou uma proposta para usar fundos do tesouro para cobrir integralmente a dívida incobrável.
Incidente de manipulação do preço do oráculo wUSDM
Em fevereiro de 2024, um atacante explorou uma vulnerabilidade no protocolo ERC-4626, inflacionando temporariamente o preço do stablecoin wUSDM emitido pelo Mountain Protocol para 1,7 dólares. Depois, depositou uma pequena quantidade de wUSDM na Venus.
Ao detectar o preço manipulado, o atacante usou esses garantias inflacionadas para emprestar ativos de maior valor, como USDC e ETH. Quando o preço do wUSDM voltou a 1 dólar, o atacante transferiu os ativos emprestados e não os devolveu, resultando em aproximadamente 716 mil dólares em dívidas incobráveis após a liquidação.
Controvérsia na governança comunitária
Além dos incidentes acima, em setembro de 2021, a Venus enfrentou questionamentos após uma proposta de governança. Um utilizador sugeriu criar a equipe Bravo, com capacidade de votar e arrecadar fundos com o mesmo peso que a equipe de governança original.
O proponente prometeu distribuir tokens para induzir votos. A proposta previa que, de um total de 1,9 milhão de tokens XVS, 900 mil seriam distribuídos à equipe Bravo (equivalente a 29 milhões de dólares). Em 14 de setembro, a proposta foi aprovada com 1,29 milhões de votos a favor e 1,19 milhões contra.
Segundo a filosofia do setor, propostas de governança devem ser executadas pela equipe após aprovação, mas a equipe Venus cancelou a decisão com um clique, alegando querer evitar que atores anônimos controlem o protocolo por suborno. É uma das raras ocasiões em que uma proposta de governança foi aprovada, mas não implementada.
Em setembro de 2025, a Venus também sofreu um incidente de segurança que resultou na perda de mais de 13 milhões de dólares, causado por um ataque ao front-end do usuário, que foi manipulado por hackers para assinar uma transação de delegação de endereço, não por uma vulnerabilidade do protocolo.
Como a Venus se tornou uma “sobrevivente”
Analisando esses incidentes, a Venus é considerada uma das raras “sobreviventes” no setor de criptomoedas, talvez até a mais experiente na gestão de ataques de hackers. Isso se deve, em grande parte, ao suporte contínuo da Binance, que, por sua posição de gigante no setor, oferece recursos e respaldo de marca ao projeto. Mesmo após tantos incidentes de segurança, a Binance continua a incentivar os usuários a depositar na Venus através de produtos financeiros para obter maiores rendimentos.
Estatísticas de TVL na cadeia Venus: Fonte: DeFillama
É bem conhecido que a Binance detém uma influência dominante no ecossistema BNB Chain. Como principal apoiador do Venus na área de empréstimos, o protocolo beneficia de uma inclinação ecológica e de uma capacidade de mitigação de riscos que a maioria dos outros projetos DeFi não possui, mesmo com os riscos de segurança inerentes.
Do ponto de vista do setor, a vulnerabilidade do DeFi fica evidente nestes casos. Problemas como atrasos nos oráculos, baixa liquidez, manipulação de preços ou falhas nos mecanismos de governança têm se repetido na história do Venus e de outros projetos DeFi.
Em sistemas DeFi altamente automatizados, qualquer falha de design em uma etapa pode ser explorada por atacantes através de manipulação de preços, liquidez ou diferenças de tempo, permitindo ataques de arbitragem complexos.
A sobrevivência do Venus após múltiplas crises deve-se, em grande parte, ao forte suporte ecológico e à capacidade de compensação financeira. Contudo, para a maioria dos projetos DeFi, um ataque de dezenas de milhões de dólares pode ser suficiente para acabar com o protocolo.
A “exceção” do Venus confirma a capacidade de proteção do ecossistema principal, mas também evidencia a vulnerabilidade geral do sistema de segurança do DeFi — quando a segurança depende mais de “gigantes” que de mecanismos internos de risco e controle, a verdadeira segurança do DeFi ainda tem um longo caminho a percorrer.
