Resumen
El atacante de Venus perdió $4.7M en cadena a pesar de orquestar una sofisticada acumulación de nueve meses.
Venus acumuló $2.1M en deuda mala después de liquidaciones de colaterales en mercados delgados.
El protocolo ignoró las advertencias de manipulación de oráculos de la auditoría de 2023, lo que permitió el exploit.
La auditoría de BlockSec reveló una realidad mucho más compleja que los informes iniciales sobre el ataque al Protocolo Venus del domingo: el hacker no obtuvo ganancias, sino que perdió aproximadamente $4.7 millones en operaciones en cadena. Mientras los medios informaban de un robo de $3.7 millones, un análisis más profundo mostró que tanto el protocolo como el atacante terminaron perdiendo capital, con Venus acumulando $2.1 millones en deuda incobrable después de liquidaciones de colaterales en mercados de baja liquidez.
El hacker acumuló el token THE de Thena durante nueve meses, financiando compras a través de Tornado Cash para oscurecer la trazabilidad. Una vez que se acumularon cantidades sustanciales, el atacante superó el límite de suministro permitido de THE de Venus, manipuló el valor de THE utilizado como colateral y pidió prestados activos por un valor cercano a $15 millones contra garantías infladas.
254 bots, 8,048 txs de liquidación, aún $2.15M en deuda mala. El atacante perdió ~$4.7M en cadena. Ambas partes perdieron dinero.
— BlockSec Phalcon (@Phalcon_xyz) 18 de marzo de 2026
Sin embargo, cuando los liquidadores automatizados comenzaron a vender THE en respuesta, el valor colapsó. El atacante invirtió $9.92 millones pero retuvo solo $5.2 millones después de todas las liquidaciones, generando una pérdida neta en cadena de $4.7 millones.
BlockSec sugiere que las ganancias genuinas probablemente provinieron de posiciones fuera de la cadena, posiblemente cuentas de intercambio centralizadas donde la venta masiva de THE activó apuestas cortas. Un investigador de seguridad reportó $15,000 en ganancias al acortar THE mientras rastreaba la explotación. Las operaciones externas explican cómo el hacker obtuvo rentabilidad a pesar de la pérdida en cadena, sugiriendo una coordinación más sofisticada de lo inicialmente supuesto.
Venus acumula una historia preocupante años después del lanzamiento
El protocolo Venus, la plataforma de préstamos más grande en BNB Chain con $1.45 mil millones en valor total bloqueado, ha enfrentado una serie perturbadora de ataques y explotaciones desde su lanzamiento en 2020. El vector de ataque utilizado en la reciente explotación—manipulación de oráculos—fue identificado en una auditoría de Code4rena de 2023, pero desestimado como "sin efectos secundarios negativos", un error analítico que permitió que la vulnerabilidad persistiera durante años.
En 2021, la volatilidad del token nativo XVS provocó $200 millones en liquidaciones y $90 millones en deuda mala. Cuando LUNA colapsó en 2022, Venus acumuló $14 millones en deuda mala cuando un feed de precios de Chainlink para LUNA tocó fondo. Un año después, un ataque de manipulación de oráculos no detectado generó $900,000 en deuda. En 2023, el protocolo se preparó para $150 millones en liquidación de BNB derivada del anterior hackeo del puente de BNB.
En septiembre reciente, un supuesto ataque de $27 millones resultó ser un usuario que cayó en una estafa de phishing. Después de que Venus pausara operaciones, la posición del usuario enfrentó liquidación para recuperar fondos robados. Surge un patrón donde Venus experimenta repetidamente estrés mientras ataques sucesivos exponen capas de fragilidad.
A medida que las plataformas DeFi maduran, Venus debe fortalecer la gobernanza de riesgos y la auditoría de seguridad para prevenir futuras explotaciones que conviertan las ganancias de los usuarios en pérdidas sistémicas. La naturaleza recurrente de las explotaciones de Venus plantea preguntas sobre si el protocolo puede mantener la confianza de los usuarios y la preservación del capital dado su deteriorado historial de seguridad.