La plataforma de préstamos descentralizada Venus Protocol anunció el domingo que detectó actividades de transacción anómalas en el fondo de tokens Thena (THE) en su pool principal. Según la última investigación de Allez Labs, socio en gestión de riesgos de Venus, este incidente fue un ataque cuidadosamente planificado de manipulación del límite de suministro, que duró aproximadamente 9 meses desde la planificación hasta la ejecución, resultando en una pérdida superior a 3.7 millones de dólares.
Análisis completo del proceso del ataque: una estrategia en cuatro fases cuidadosamente diseñada
La investigación de Allez Labs revela la lógica operativa completa del ataque, que se divide en cuatro etapas clave:
Primera etapa: acumulación lenta de tokens durante 9 meses. Desde junio de 2025, los atacantes acumularon lentamente tokens THE, alcanzando finalmente el 84% del límite de suministro, aproximadamente 14.5 millones de tokens. Esta estrategia de acumulación gradual evitó activar las alertas de riesgo de la plataforma.
Segunda etapa: transferencia directa para eludir el límite de suministro. Los atacantes no usaron el proceso normal de depósito, sino que transfirieron directamente los tokens al contrato del protocolo, evadiendo completamente el mecanismo de límite de suministro, y finalmente establecieron una posición de 53.2 millones de tokens THE, lo que equivale a 3.67 veces el límite de suministro.
Tercera etapa: manipulación del oráculo TWAP. Aprovechando la estructura de liquidez extremadamente baja de THE en la cadena, los atacantes manipularon el oráculo TWAP (precio medio ponderado en el tiempo) mediante operaciones recursivas, elevando el precio de THE de aproximadamente 0.27 dólares a unos 0.53 dólares.
Cuarta etapa: uso de colaterales inflados para préstamos masivos. Con la valoración artificialmente elevada de los colaterales, los atacantes usaron los 53.2 millones de tokens THE como garantía para tomar prestados diversos activos con alta liquidez.
Detalles de los activos robados y medidas de respuesta de emergencia de la plataforma
Los activos que los atacantes tomaron en préstamo en el pico del ataque incluyen:
- 6,670,000 tokens CAKE (token nativo de PancakeSwap)
- 2,801 BNB (token nativo de BNB Chain)
- 1,970 WBNB
- 1,580,000 USDC
- 20 BTCB (Bitcoin tokenizado)
Venus Protocol suspendió inmediatamente todos los préstamos y retiros de tokens THE, y por precaución, también suspendió las funciones de préstamo y retiro en mercados con alta concentración de liquidez en la cadena, incluyendo BCH, LTC, UNI, AAVE, FIL y TWT. Otros mercados de Venus continuaron operando normalmente.
Lecciones profundas sobre vulnerabilidades de seguridad: la fragilidad sistémica de tokens con baja liquidez
Este ataque a Venus Protocol revela varios riesgos sistémicos en los protocolos DeFi de préstamos: los oráculos TWAP de tokens con baja liquidez son muy susceptibles a influencias de pequeñas operaciones; si el mecanismo de límite de suministro no previene transferencias directas por contrato, puede existir una vulnerabilidad técnica que lo permita; además, la estrategia de acumulación lenta de 9 meses expone posibles puntos ciegos en la monitorización de comportamientos a largo plazo del protocolo.
Preguntas frecuentes
¿Qué es el “ataque por límite de suministro” en Venus Protocol?
El límite de suministro es un mecanismo de seguridad diseñado para restringir la cantidad máxima de un activo que puede usarse como colateral. En este caso, los atacantes eludieron este mecanismo transfiriendo tokens directamente al contrato, alcanzando 3.67 veces el límite de suministro, y luego manipularon el oráculo para inflar el valor del colateral, permitiendo préstamos por encima del límite autorizado.
¿Por qué el ataque pudo planearse durante tanto tiempo sin ser detectado?
Los atacantes usaron una estrategia de acumulación “low and slow” (lenta y gradual) de 9 meses, controlando la cantidad de tokens para no activar alertas, hasta que alcanzaron el 84% del límite de suministro y ejecutaron el ataque. Este método es una forma común de evadir mecanismos de monitoreo basados en umbrales, evidenciando la necesidad de una monitorización más fina del comportamiento a largo plazo del protocolo.
¿Qué medidas de emergencia tomó Venus Protocol?
Venus Protocol suspendió inmediatamente todas las funciones de préstamo y retiro de tokens THE, y también detuvo preventivamente las funciones en mercados con alta concentración de liquidez como BCH, LTC, UNI, AAVE, FIL y TWT. Otros mercados continuaron operando normalmente. Allez Labs y sus socios de seguridad continúan investigando y actualizando los avances.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Estafa de romance en Instagram: un “experto” en inversión en criptomonedas engaña a una mujer de 50 años y le roba 2 millones
La policía de Hong Kong ha divulgado recientemente un caso de estafa a través de citas en línea, con pérdidas de más de 2 millones de HKD. Los estafadores iniciaron el contacto en Instagram de forma proactiva, y después de establecer la confianza, bajo la denominación de “inversión en criptomonedas”, indujeron a la víctima a que realizara el cambio en siete ocasiones para obtener USDT y a que hiciera transferencias. La policía recuerda a los ciudadanos que identifiquen las características de las estafas y recomienda el uso de herramientas de prevención de fraudes, manteniendo la precaución ante cualquier relación en línea para la que intervengan transferencias.
MarketWhisperhace3h
Justin Sun critica el token WLFI por preocupaciones sobre la transparencia
Justin Sun ha revelado que el proyecto World Liberty Finance tiene funciones de puerta trasera en sus contratos inteligentes, lo que permite la confiscación de activos sin previo aviso. Esto infringe los principios de la descentralización, perjudica los derechos de los inversores y socava la confianza en la comunidad de blockchain.
BlockChainReporterhace3h
El contrato de Hyperbridge HandlerV1 de Ethereum sufrió un ataque de reejecución de una prueba MMR, con una pérdida de aproximadamente 242.000 dólares
En Ethereum, el contrato Hyperbridge HandlerV1 fue objeto de un ataque de repetición de pruebas MMR, con una pérdida de aproximadamente 242.000 USD. El atacante aprovechó una vulnerabilidad para repetir pruebas históricas con el fin de realizar operaciones con privilegios; la protección contra la repetición no logró vincular de forma efectiva la carga útil de la solicitud.
GateNewshace3h
El puente entre cadenas Hyperbridge sufre un ataque; el atacante acuña 1.000 millones de tokens DOT para venderlos masivamente
El contrato de puerta de enlace entre cadenas de Hyperbridge ha sido atacado recientemente. El atacante falsificó mensajes, alteró los permisos del administrador del contrato, acuñó ilegalmente 1.000 millones de tokens de DOT puenteados y los vendió por completo. Sin embargo, debido a la falta de liquidez, finalmente solo obtuvo alrededor de 237.000 USD en ganancias. Este incidente no afectó la seguridad de la cadena nativa de Polkadot.
MarketWhisperhace3h
Una mujer en Hong Kong es víctima de una estafa tipo “kill pig” (estafa de cebo) con criptomonedas, con pérdidas que superan los 2 millones de dólares de Hong Kong.
La policía de Hong Kong informa que una mujer de más de 50 años fue víctima de una estafa con criptomonedas, con unas pérdidas de más de 2 millones de dólares de Hong Kong. Los estafadores se relacionaron con ella a través de Instagram, la indujeron a invertir y le pidieron que hiciera múltiples transferencias; al final, desaparecieron.
GateNewshace4h
Se explota una vulnerabilidad en el puente de Polkadot; 1.000 millones de DOT acuñados en la red de Ethereum y vendidos en el mercado
Noticias de Gate, 13 de abril, según información del mercado, se ha explotado una vulnerabilidad del puente de Polkadot; el atacante acuñó 1.000 millones de DOT en la red de Ethereum y ya los ha vendido.
GateNewshace4h
