Penulis: Gu Yù, ChainCatcher
Peretas adalah musuh mematikan dari setiap protokol DeFi. Sebagian besar protokol DeFi akan mengalami kerugian besar setelah menghadapi serangan bernilai jutaan dolar dan kemudian mengalami kemunduran. Namun, sebagai protokol pinjaman utama di BNB Chain dan proyek inkubasi internal Binance, Venus Protocol jelas merupakan pengecualian yang langka.
Venus awalnya dikembangkan oleh tim Swipe yang diakuisisi oleh Binance, dirilis satu bulan setelah peluncuran utama BNB Chain pada tahun 2020, dan dengan cepat menjadi protokol pinjaman dengan aset terkunci dan jumlah pengguna terbesar di BNB Chain. Menurut RootData, saat ini token Venus memiliki FDV sebesar 94 juta dolar AS dan TVL sebesar 1,47 miliar dolar AS.
Baru-baru ini, Venus kembali menjadi target serangan hacker. Berdasarkan tinjauan ulang dari tim resmi, penyerang mulai dari Juni 2025 secara perlahan mengumpulkan token THE melalui proses penyetoran normal, hingga akhirnya memegang sekitar 12,2 juta THE, bernilai sekitar 2,4 juta dolar AS.
Pada 15 Maret, serangan langsung menyetor semua token THE sebagai jaminan ke dalam kontrak pinjaman, memanfaatkan likuiditas THE yang sangat rendah di chain dan penundaan TWAP oracle, melakukan manipulasi harga secara rekursif, dan meminjam aset bernilai jutaan dolar seperti BTC, BNB, CAKE, dan lainnya.
Seiring harga THE yang anjlok memicu likuidasi berantai, kejadian ini akhirnya menyebabkan kerugian sekitar 2,15 juta dolar AS bagi Venus. Melihat kembali beberapa tahun terakhir, Venus hampir setiap tahun mengalami serangan hacker, terutama serangan oracle, yang menyebabkan kerugian lebih dari 100 juta dolar AS secara kumulatif.
Peristiwa Manipulasi Harga Oracle XVS
Pada Mei 2021, seorang penyerang memanfaatkan kekurangan likuiditas di bursa terpusat (terutama Binance) yang memperdagangkan token XVS, dan dalam waktu singkat menaikkan harga XVS dari sekitar 70 dolar AS menjadi lebih dari 140 dolar AS. Setelah itu, penyerang menggunakan XVS yang dimilikinya sebagai jaminan untuk meminjam sejumlah besar aset berkualitas tinggi dari Venus (sekitar 2000 BTC dan 5700 ETH).
Kemudian, harga XVS jatuh tajam, turun ke level terendah 31 dolar AS, memicu likuidasi besar-besaran. Karena likuiditas pasar tidak mampu menahan penjualan besar tersebut, protokol Venus mengalami kerugian lebih dari 95 juta dolar AS.
Setelah kejadian ini, protokol mengumumkan bahwa tim Swipe keluar dari pengelolaan, dan anggota komunitas membentuk dewan baru untuk mengelola protokol selanjutnya, meskipun tetap memiliki latar belakang kuat dari Binance.
Kejadian Keruntuhan LUNA
Pada Mei 2022, dalam kejadian keruntuhan LUNA bulan itu, harga nyata LUNA dalam waktu singkat turun di bawah 0,1 dolar AS. Namun, karena oracle Chainlink berhenti memperbarui harga setelah mencapai ambang tertentu (0,10 dolar AS), Venus tetap menerima jaminan LUNA dengan harga palsu “tinggi” sebesar 0,1 dolar AS.
Penyerang yang menemukan celah ini membeli banyak LUNA di pasar sekunder dengan harga rendah, memasukkannya ke Venus sebagai jaminan dengan nilai yang dilebih-lebihkan, dan meminjam aset lain, menyebabkan kerugian lebih dari 11,2 juta dolar AS lagi.
Insiden Oracle Binance
Pada Desember 2023, karena Venus menggunakan data harga dari Binance Oracle di pool pinjaman terisolasi untuk aset dengan likuiditas rendah snBNB, penyerang membeli snBNB di pool kecil PancakeSwap yang sangat tipis, sehingga harga snBNB langsung melonjak ke level yang tidak masuk akal.
Penyerang kemudian menyetor 0,49 snBNB dan meminjam hampir semua aset yang tersedia di pool tersebut (termasuk WBNB, BNBx, ankrBNB, dan lain-lain), dengan total sekitar 274.000 dolar AS, lalu mencucinya melalui jembatan lintas rantai. Akhirnya, pengelolaan Venus mengajukan proposal dan menggunakan dana treasury untuk menutup kerugian tersebut secara penuh.
Manipulasi Harga Oracle wUSDM
Pada Februari 2024, seorang penyerang memanfaatkan celah protokol ERC-4626 untuk secara artifisial menaikkan harga stablecoin wUSDM yang diterbitkan Mountain Protocol ke 1,7 dolar AS dalam waktu singkat. Setelah itu, penyerang menyetor sejumlah kecil wUSDM ke Venus.
Karena oracle membaca harga palsu yang dimanipulasi tersebut, penyerang memanfaatkan jaminan wUSDM yang nilainya dilebih-lebihkan untuk meminjam aset lain yang nilainya lebih tinggi (seperti USDC, ETH, dan lain-lain). Ketika harga wUSDM kembali normal ke 1 dolar AS, penyerang telah memindahkan aset pinjaman dan tidak mengembalikannya, sehingga Venus mengalami kerugian sekitar 716.000 dolar AS setelah proses likuidasi.
Kontroversi Pengelolaan Komunitas
Selain insiden serangan di atas, Venus juga pernah menimbulkan keraguan dari luar pada September 2021 karena sebuah kejadian pengelolaan. Saat itu, seorang pengguna komunitas Venus mengajukan proposal berjudul “Pembentukan Tim Bravo” yang bertujuan memberi tim tersebut hak voting dan penggalangan dana setara dengan pengelola asli.
Namun, pengusul diduga mengiming-imingi distribusi token untuk mempengaruhi voting. Dalam proposal tersebut, dari 1,9 juta token XVS yang akan dikumpulkan, tim Bravo akan mengalokasikan 900.000 XVS (senilai 29 juta dolar AS) untuk distribusi kepada alamat yang memberikan suara setuju. Akhirnya, pada 14 September pukul 22:33, proposal ini disetujui dengan 1,29 juta suara setuju dan 1,19 juta suara menolak.
Menurut prinsip industri, setelah proposal pengelolaan disetujui, seharusnya tim yang melaksanakan, tetapi Venus “membatalkan satu klik” keputusan tersebut, dengan alasan untuk mencegah individu anonim mengendalikan protokol melalui suap. Ini adalah salah satu dari sedikit kasus di industri DeFi di mana proposal pengelolaan di blockchain disetujui tetapi tidak dilaksanakan.
Selain itu, pada September 2025, Venus mengalami insiden keamanan yang menyebabkan kerugian lebih dari 13 juta dolar AS, tetapi ini terutama disebabkan oleh peretasan antarmuka pengguna yang mengarahkan pengguna untuk menandatangani transaksi “delegasi” (delegate), bukan karena celah di Venus sendiri.
Mengapa Venus Menjadi “Penyintas”
Melihat berbagai insiden serangan ini, Venus bisa disebut sebagai “penyintas” langka di dunia kripto, dan mungkin juga menjadi proyek yang paling berpengalaman dalam menghadapi serangan hacker. Hal ini sebagian besar berkat dukungan berkelanjutan dari Binance sebagai raksasa kripto dalam hal sumber daya dan merek, bahkan setelah mengalami banyak insiden keamanan, Binance tetap secara langsung mengarahkan pengguna bursa untuk menyimpan dana di Venus demi mendapatkan hasil yang lebih tinggi.
Statistik TVL di chain Venus sumber: DeFillama
Seperti diketahui, Binance memiliki kekuasaan mutlak di ekosistem BNB Chain. Sebagai pendukung utama di bidang pinjaman, Venus selalu menikmati keunggulan ekosistem dan kemampuan perlindungan risiko yang tidak dimiliki sebagian besar proyek DeFi lainnya, meskipun ada sejumlah risiko keamanan.
Dari sudut pandang industri, kerentanan DeFi juga semakin jelas dalam kasus-kasus ini. Baik itu penundaan oracle, aset likuiditas rendah, manipulasi harga, maupun celah mekanisme pengelolaan, semua masalah ini pernah berulang di Venus dan banyak proyek DeFi lainnya.
Dalam sistem DeFi yang sangat otomatis, selama satu bagian saja mengalami cacat desain, penyerang sering dapat memanfaatkan perbedaan harga, likuiditas, atau waktu untuk membangun serangan arbitrase yang kompleks.
Venus mampu bertahan melalui berbagai krisis berkat dukungan ekosistem yang kuat dan kemampuan kompensasi dana. Namun, bagi sebagian besar proyek DeFi, satu serangan bernilai puluhan juta dolar sudah cukup untuk mengakhiri seluruh protokol.
“Pengecualian” Venus ini tidak hanya membuktikan kekuatan perlindungan dari ekosistem utama, tetapi juga menyoroti kerentanan sistem keamanan DeFi secara umum — ketika keamanan hanya bergantung pada “penyangga raksasa” dan bukan pada mekanisme pengelolaan dan risiko internal protokol, keamanan sejati dari DeFi masih jauh dari kata aman.
