Direkt zum Hauptinhalt

Der 3,7-Millionen-Dollar-Raub auf Venus Protocol: Wie ein neunmonatiger Plan eine bekannte Schwachstelle in der BNB Chain ausnutzte

· 8 Min. Lesezeit
Dora Noda
Dora Noda
Software Engineer

Ein Sicherheitsaudit hatte genau diesen Angriffsvektor bereits Monate zuvor aufgezeigt. Das Team tat dies ab. Am Sonntag erbeutete ein Angreifer 3,7 Mio. $.

Venus Protocol, die dominierende Lending-Plattform auf der BNB Chain mit einem Gesamtwert von rund 1,47 Mrd. (TotalValueLocked),erlittam15.Ma¨rz2026einenverheerendenExploitdurchPreismanipulation.DerAngreiferzielteaufTHEabdennativenTokenderdezentralenBo¨rseThenaundtriebdessenPreisdurcheinensorgfa¨ltigorchestriertenKreislaufausEinzahlungen,KreditenundKa¨ufenvon0,27(Total Value Locked), erlitt am 15. März 2026 einen verheerenden Exploit durch Preismanipulation. Der Angreifer zielte auf THE ab – den nativen Token der dezentralen Börse Thena – und trieb dessen Preis durch einen sorgfältig orchestrierten Kreislauf aus Einzahlungen, Krediten und Käufen von 0,27 auf fast 5 indieHo¨he.DasErgebnis:U¨ber3,7Mio.in die Höhe. Das Ergebnis: Über 3,7 Mio. wurden in BTC, CAKE, USDC und BNB abgezogen, wobei etwa 2,15 Mio. $ als uneinbringliche Forderungen (Bad Debt) bestehen blieben.

Was diesen Angriff bemerkenswert macht, ist nicht nur sein Ausmaß, sondern auch die Geduld dahinter – und die Tatsache, dass sich die Schwachstelle direkt vor aller Augen verbarg.

Neun Monate in der Vorbereitung

Die meisten DeFi-Exploits geschehen innerhalb von Minuten. Dieser begann bereits im Juni 2025.

On-Chain-Analysen zeigen, dass der Angreifer neun Monate damit verbrachte, in aller Stille THE-Token zu akkumulieren und eine Position aufzubauen, die 84 % des Supply Caps von Venus (14,5 Millionen THE) entsprach. Die ursprüngliche Finanzierung – 7.400 ETH – kam über Tornado Cash, den sanktionierten Krypto-Mixer, was die Identität des Angreifers praktisch unauffindbar machte.

Die langsame Akkumulation diente einem doppelten Zweck. Erstens verhinderte sie, dass Liquiditätswarnungen oder plötzliche Preisbewegungen ausgelöst wurden, die das Risiko-Monitoring von Venus hätten alarmieren können. Zweitens verschaffte sie dem Angreifer ein massives Budget, das er im richtigen Moment einsetzen konnte.

Als der Angriff gestartet wurde, kontrollierte der Angreifer einen dominierenden Anteil des verfügbaren Angebots von THE – was die Bühne für eine klassische Oracle-Manipulation bereitete.

Der Angriff: Ein Destruktionskreislauf in vier Schritten

Der Exploit folgte einer präzisen Sequenz, die sich am Sonntag innerhalb von Minuten entfaltete:

Schritt 1: Umgehung des Supply Caps. Venus verfügte über ein Supply Cap, das THE-Einzahlungen begrenzte. Der Angreifer umging dies, indem er THE-Token direkt an den vTHE-Contract überwies – die interne Darstellung der hinterlegten THE bei Venus –, anstatt die normale Einzahlungsfunktion zu nutzen. Dieser „Donation Attack“ trieb den vom Protokoll erkannten Wechselkurs in die Höhe und ermöglichte es dem Angreifer, eine Position von 53,2 Millionen THE aufzubauen – mehr als das 3,5-fache des autorisierten Limits.

Schritt 2: Den Preis von THE künstlich aufblähen. Da THE über eine geringe On-Chain-Liquidität verfügte, sorgte bereits ein relativ bescheidener Kaufdruck dafür, dass der Preis von 0,27 auffast5auf fast 5 anstieg – ein 18-facher Zuwachs. Der Angreifer hinterlegte THE als Sicherheit, lieh sich dagegen andere Assets, nutzte diese geliehenen Assets, um mehr THE zu kaufen, und wiederholte den Zyklus, während sich das Time-Weighted Average Price Oracle von Venus aktualisierte, um den manipulierten Markt abzubilden.

Schritt 3: Abzug wertvoller Assets. Mit den künstlich aufgeblähten THE-Sicherheiten lieh sich der Angreifer echte, liquide Assets: 20 BTC, 1,516 Millionen CAKE, 1,58 Millionen USDC und 2.801 BNB – und wandelte so manipulierten Papierwert in harte Assets über mehrere Märkte hinweg um.

Schritt 4: Exit. Sobald der Leihvorgang abgeschlossen war, brach der Preis von THE wieder auf seinen wahren Wert ein, sodass Venus mit massiv überbewerteten Sicherheiten für echte Schulden zurückblieb. Das Protokoll verzeichnete rund 2,15 Mio. $ an Bad Debt – 1,18 Millionen CAKE und 1,84 Millionen THE-Token, die nicht mehr ausreichend besichert sind.

Das Audit, das ignoriert wurde

Das vielleicht belastendste Detail: Genau dieser Angriffsvektor wurde während des Code4rena-Sicherheitsaudits von Venus markiert. Die Auditoren identifizierten den Donation Attack als bekannte Schwachstelle in Lending-Protokollen, die Forks von Compound sind – eine Kategorie, zu der auch Venus gehört.

Das Team von Venus bestritt das Ergebnis und argumentierte, dass direkte Token-Spenden ein „unterstütztes Verhalten ohne negative Nebenwirkungen“ seien.

Sie lagen falsch.

Der Spendenmechanismus ermöglichte es dem Angreifer, Supply Caps vollständig zu umgehen, was der Dreh- und Angelpunkt des gesamten Exploits war. Ohne diese Umgehung hätte der Angreifer niemals eine ausreichend große Position aufbauen können, um den Preis von THE effektiv zu manipulieren. Eine bekannte, dokumentierte Schwachstelle, die als irrelevant abgetan wurde, wurde zum Einstiegspunkt für einen millionenschweren Diebstahl.

Dies wirft unangenehme Fragen für jedes DeFi-Protokoll auf, das mit Fork-Code arbeitet: Wie viele andere umstrittene Audit-Ergebnisse sind tickende Zeitbomben?

Die Reaktion von Venus und die Auswirkungen auf den Markt

Venus reagierte schnell, nachdem der Exploit entdeckt worden war:

  • Sofortiges Pausieren von Krediten und Auszahlungen für THE sowie für mehrere andere Märkte mit hoher Liquiditätskonzentration – einschließlich BCH, LTC, UNI, AAVE, FIL und TWT.
  • Verschärfte Besicherungsregeln auf der gesamten Plattform.
  • Einleitung einer Untersuchung mit Plänen zur Überprüfung der Oracle-Mechanismen, um ähnliche Angriffe zu verhindern.
  • Der THE-Token-Preis fiel nach dem Exploit um etwa 17 %, was Auswirkungen auf das breitere Ökosystem von Thena hatte.

Der Vorfall ereignet sich zu einem für Venus besonders sensiblen Zeitpunkt. Das Protokoll hatte erst im Februar 2026 Venus Flux eingeführt, einen integrierten Liquidity Layer, der darauf abzielt, Lending, Borrowing, Trading und Leverage-Strategien auf der BNB Chain zu konsolidieren. Der Exploit in Höhe von 3,7 Mio. $ untergräbt das Vertrauen, das die Einführung des neuen Produkts eigentlich schaffen sollte.

DeFis wiederkehrendes Oracle-Problem

Der Venus-Exploit ist bei weitem kein Einzelfall. Laut Daten von PeckShield gab es im ersten Quartal 2026 allein im Januar und Februar bereits Verluste in Höhe von $ 112,5 Millionen durch Krypto-Hacks. Im gesamten Jahr 2025 wurden erschreckende $ 3,4 Milliarden gestohlen, wobei Oracle-Manipulationen und Flash-Loan-Angriffe einen erheblichen Anteil ausmachten.

Die grundlegende Herausforderung bleibt unverändert: DeFi-Lending-Protokolle benötigen genaue Preisdaten, um zu funktionieren, aber On-Chain-Preis-Feeds für Token mit geringer Liquidität können von jedem mit ausreichend Kapital manipuliert werden. Flash Loans verstärken dieses Problem, indem sie Angreifern zum Nulltarif Zugang zu enormem temporärem Kapital verschaffen.

Das Muster ist deprimierend vertraut:

  • Token mit geringer Liquidität als Sicherheit gelistet — THE verfügte über ein geringes Handelsvolumen im Verhältnis zu den Supply Caps von Venus
  • Oracle-Abhängigkeit von manipulierbaren Daten — Zeitgewichtete Durchschnittspreise (TWAP) hinken schnellen Preismanipulationen immer noch hinterher
  • Umgehung der Angebotsobergrenze (Supply Cap) — Der Donation-Attack-Vektor machte die Risikokontrollen von Venus unwirksam
  • Geliehene Vermögenswerte sind liquide und stabil — BTC, BNB, CAKE und USDC sind leicht beweglich und wertbeständig

Dasselbe Muster zeigte sich beim $ 5 Millionen Exploit von Makina DeFi Anfang März 2026, bei dem ebenfalls AMM-Oracle-Manipulationen genutzt wurden. Die Branche diskutiert über „Flash Loan 2.0“-Standards mit integriertem Oracle-Schutz und Reentrancy-Guards, aber die Akzeptanz bleibt ungleichmäßig.

Lektionen für Entwickler und Nutzer

Der Venus-Angriff bekräftigt mehrere kritische Prinzipien für jeden, der DeFi-Protokolle entwickelt oder nutzt:

Nehmen Sie Audit-Ergebnisse ernst. Wenn professionelle Auditoren eine Schwachstelle melden — selbst wenn sie theoretisch erscheint —, sind die Kosten für die Behebung fast immer niedriger als die Kosten eines Exploits. Die Ablehnung des Code4rena-Befunds zum Donation-Angriff durch Venus ist ein warnendes Beispiel, das noch jahrelang untersucht werden wird.

Angebotsobergrenzen (Supply Caps) sind nur so stark wie ihre Durchsetzung. Wenn Token die Obergrenzen durch direkte Contract-Transfers umgehen können, sind die Caps nur Theater. Protokolle müssen das Gesamtangebot auf Contract-Ebene validieren, nicht nur durch Prüfungen der Einzahlungsfunktion.

Sicherheiten mit geringer Liquidität sind Hochrisiko-Sicherheiten. Das Listen von Token mit geringem Handelsvolumen als Sicherheit schafft eine Angriffsfläche, die proportional zur Lücke zwischen der Liquidität des Tokens und der Kreditkapazität des Protokolls ist. Protokolle benötigen dynamische Risikoparameter, die auf Echtzeit-Liquiditätsbedingungen reagieren.

Zeitgewichtete Oracles reichen für illiquide Assets nicht aus. TWAP-Oracles gehen davon aus, dass eine anhaltende Preismanipulation teuer ist. Bei Token mit geringer Liquidität können die Kosten für eine anhaltende Manipulation im Verhältnis zum potenziellen Gewinn aus einem Exploit trivial gering sein.

Neun Monate Geduld sollten jeden beunruhigen. Die Bereitschaft des Angreifers, neun Monate lang Token zu akkumulieren, deutet auf ein Maß an Raffinesse und Planung hin, das die meisten Protokoll-Teams in ihren Bedrohungsmodellen nicht berücksichtigen. Die DeFi-Sicherheit muss langfristige Angriffsstrategien in Betracht ziehen, nicht nur atomare Transaktions-Exploits.

Was als Nächstes kommt

Die unmittelbare Herausforderung für Venus Protocol besteht darin, sich von den $ 2,15 Millionen an uneinbringlichen Forderungen (Bad Debt) zu erholen und das Vertrauen in sein Risikomanagement wiederherzustellen. Das breitere DeFi-Ökosystem steht vor einer schwierigeren Frage: Wie lassen sich diverse Arten von Sicherheiten listen, ohne Angriffsflächen für Oracle-Manipulationen zu schaffen.

Mehrere Ansätze gewinnen an Bedeutung:

  • Externe Preis-Feeds von Chainlink und Pyth, die Daten aus mehreren Quellen aggregieren und schwerer zu manipulierbar sind
  • Circuit Breaker, die Märkte pausieren, wenn Preise innerhalb kurzer Zeiträume über die erwarteten Bereiche hinaus abweichen
  • Strikte liquiditätsabhängige Angebotsobergrenzen, die Sicherheiten-Limits an die Echtzeit-On-Chain-Liquidität binden, statt an statische Schwellenwerte
  • Formale Verifizierung der Durchsetzung von Angebotsobergrenzen, um sicherzustellen, dass kein Codepfad — einschließlich direkter Transfers — die Protokoll-Limits umgehen kann

Der Venus-Exploit ist eine Erinnerung daran, dass die Komponierbarkeit von DeFi ein zweischneidiges Schwert ist. Dieselbe Offenheit, die erlaubnisfreie Innovation ermöglicht, ermöglicht auch erlaubnisfreie Ausbeutung. Damit das Ökosystem reift, müssen Protokolle Sicherheits-Audit-Ergebnisse als Handlungsaufforderungen und nicht als bloße Vorschläge betrachten — und sie müssen ihre Verteidigung für Angreifer konzipieren, die in Monaten und nicht in Millisekunden denken.

Sie entwickeln auf der BNB Chain oder anderen Blockchain-Netzwerken? BlockEden.xyz bietet Enterprise-Grade RPC-Endpunkte und eine Blockchain-Infrastruktur, bei der Zuverlässigkeit und Sicherheit im Mittelpunkt stehen. Erkunden Sie unseren API-Marktplatz, um auf einem Fundament zu bauen, dem Sie vertrauen können.

Share on Twitter