El hack de Venus Protocol causa una pérdida de $3.7 millones después de la manipulación de tokens THE en BNB Chain

Un nuevo exploit en un mercado líder de préstamos en BNB Chain ha reavivado las preocupaciones sobre la gestión de riesgos en DeFi, con el último hack al protocolo Venus nuevamente vinculado a debilidades en oráculos y liquidez.

Cómo se desarrolló la manipulación del precio de THE en Venus

El domingo, Venus Protocol, la plataforma de préstamos dominante en BNB Chain, fue víctima de un sofisticado ataque de manipulación de precios centrado en THE, el token nativo de Thena. El incidente, que afectó a un mercado de activos específico, expuso debilidades estructurales en la incorporación de colaterales y en las suposiciones de liquidez.

El atacante aprovechó una liquidez en cadena escasa para elevar el precio de THE de aproximadamente $0.27 a casi $5. Su estrategia consistió en depositar repetidamente el token como colateral, tomar préstamos en otros activos, comprar más THE con los fondos prestados y repetir este proceso. Además, el oráculo de precios de Venus continuó siguiendo el valor de mercado inflado artificialmente durante estos ciclos.

Para evitar el límite de suministro de THE en Venus, el perpetrador utilizó una técnica de ataque por donación. En lugar de usar la función de depósito estándar, transfirió tokens directamente al contrato inteligente vTHE. Este flujo distorsionó la tasa de cambio interna del protocolo, neutralizando efectivamente las limitaciones de suministro y permitiendo la creación de colaterales excesivos.

Con el colateral inflado, el explotador drenó múltiples activos del protocolo. Retiró 6.67 millones de CAKE, 1.58 millones de USDC, 2801 BNB y 20 Bitcoin en un corto período, convirtiendo la valoración manipulada de THE en valor real en varios tokens líquidos.

Estimaciones de pérdidas, deuda incobrable y respuesta de emergencia

Los daños totales del ataque superan los $3.7 millones, según informes de Wu Blockchain. Sin embargo, no toda esta pérdida permanece como exposición abierta. El analista independiente EmberCN estimó que aproximadamente $2.15 millones aún están en deuda incobrable en Venus, compuestos por unos 1.18 millones de CAKE y 1.84 millones de THE que ya no están adecuadamente colateralizados.

La dirección de la billetera detrás de la operación fue inicialmente financiada con 7,400 ETH a través de Tornado Cash, el mezclador de criptomonedas enfocado en la privacidad. Sin embargo, el uso de estas herramientas es común en exploits complejos y dificulta la atribución y recuperación por parte de investigadores y protocolos afectados.

En respuesta, Venus Protocol anunció en X que había detectado “actividad inusual” en el pool de liquidez de THE. El equipo rápidamente congeló todas las funciones de préstamo y retiro relacionadas con THE, calificando la decisión como una medida de emergencia mientras se realiza una revisión de seguridad interna y externa.

Las compensaciones y posibles pérdidas netas del atacante

El proceso de explotación no se desarrolló exactamente como el atacante probablemente pretendía. Tras el primer ciclo de préstamo, el oráculo de precio ponderado en el tiempo de Venus solo ajustó la valoración de THE a unos $0.50, muy por debajo de los casi $5 observados en el comercio spot. Esto redujo el valor efectivo del colateral dentro del protocolo.

No obstante, el atacante continuó adquiriendo THE con capital prestado, intentando mantener el precio elevado y maximizar la capacidad de préstamo. Sin embargo, la presión de venta sostenida sobrecargó el libro de órdenes superficial. La salud de la cuenta se acercó a 1, lo que provocó liquidaciones y la venta de colaterales en un mercado en rápida caída.

La liquidación ocurrió en un mercado con casi poca profundidad. THE colapsó a aproximadamente $0.24, incluso más bajo que su precio previo al ataque, cerca de $0.27. El investigador de seguridad en cadena Weilin Li, quien alertó públicamente sobre el incidente, argumentó que el atacante probablemente solo obtuvo beneficios limitados en cadena y, en última instancia, pudo haber registrado una pérdida neta.

Hasta la publicación, THE se cotizaba cerca de $0.2255, lo que representa una caída de más del 17% en las últimas 24 horas. Además, la rápida reversión destaca cómo la extrema volatilidad en activos ilíquidos puede revertir la economía de lo que inicialmente parecía una manipulación lucrativa.

Un patrón de incidentes de deuda incobrable en Venus

Este último incidente en Venus Protocol se suma a una historia de pérdidas relacionadas con manipulación de mercado y diseño de colaterales. En 2021, un esquema con el token nativo XVS generó más de $95 millones en deuda incobrable, dejando al protocolo y a su comunidad con un importante agujero que cubrir.

Luego, durante el colapso de Terra/LUNA en 2022, Venus absorbió aproximadamente $14 millones en exposición sin colateral. Sin embargo, esas pérdidas fueron causadas por una falla sistémica del mercado en lugar de una explotación directa, resaltando una dimensión diferente pero relacionada del riesgo en plataformas de préstamos multiactivo.

Más recientemente, en febrero de 2025, un exploit similar basado en donaciones afectó la implementación de Venus en ZKSync. Los atacantes usaron mecánicas casi idénticas a las del incidente del domingo para crear más de $700,000 en deuda incobrable. La repetición de este patrón en diferentes entornos ha intensificado el escrutinio sobre cómo el protocolo maneja la incorporación de colaterales y comportamientos en casos límite.

Riesgos en el diseño basado en Compound y advertencias ignoradas

La vulnerabilidad central utilizada aquí no es exclusiva de Venus Protocol. El exploit por donación representa una debilidad de diseño conocida en sistemas de préstamos derivados de Compound, donde las transferencias directas de tokens a mercados que generan intereses pueden distorsionar la contabilidad que respalda la valoración de colaterales y la lógica del límite de suministro.

Es importante destacar que la revisión de seguridad Code4rena de Venus ya había señalado este tipo de riesgo. Sin embargo, el equipo de desarrollo, según informes, cuestionó la gravedad del hallazgo en ese momento, optando por no implementar una mitigación completa. La recurrencia de un ataque casi idéntico ahora pone en duda esa decisión, recibiendo críticas renovadas por parte de investigadores de seguridad y usuarios.

Para los mercados DeFi en BNB Chain y más allá, el último hack a Venus refuerza cómo los problemas teóricos conocidos pueden traducirse en pérdidas reales si no se abordan. De cara al futuro, controles más estrictos sobre la liquidez de colaterales, las fuentes de oráculos y las transferencias por donación serán probablemente clave para restaurar la confianza.

En resumen, el ataque a Venus que involucró manipulación de precios de THE, dependencia de oráculos y un vector de donación para generar más de $3.7 millones en daños, vuelve a poner en evidencia los riesgos estructurales de largo plazo en los protocolos de préstamos basados en Compound.