Saltar al contenido principal

El robo de $3.7M a Venus Protocol: Cómo un plan de nueve meses explotó una vulnerabilidad conocida en BNB Chain

· 9 min de lectura
Dora Noda
Dora Noda
Software Engineer

Una auditoría de seguridad señaló el vector de ataque exacto meses antes. El equipo lo descartó. El domingo, un atacante se llevó 3,7 millones de $.

Venus Protocol, la plataforma de préstamos dominante en BNB Chain con aproximadamente 1.470 millones de envalortotalbloqueado,sufrioˊundevastadorexploitdemanipulacioˊndepreciosel15demarzode2026.ElatacanteapuntoˊaTHEeltokennativodelexchangedescentralizadoThena,inflandosupreciode0,27en valor total bloqueado, sufrió un devastador exploit de manipulación de precios el 15 de marzo de 2026. El atacante apuntó a THE — el token nativo del exchange descentralizado Thena —, inflando su precio de 0,27 a casi 5 medianteunciclocuidadosamenteorquestadodedepoˊsitos,preˊstamosycompras.Elresultado:maˊsde3,7millonesdemediante un ciclo cuidadosamente orquestado de depósitos, préstamos y compras. El resultado: más de 3,7 millones de drenados en BTC, CAKE, USDC y BNB, con aproximadamente 2,15 millones de $ persistiendo como deuda incobrable irrecuperable.

Lo que hace que este ataque sea notable no es solo su escala, sino la paciencia detrás de él — y el hecho de que la vulnerabilidad estaba escondida a plena vista.

Nueve meses de preparación

La mayoría de los exploits de DeFi ocurren en minutos. Este comenzó en junio de 2025.

El análisis on-chain revela que el atacante pasó nueve meses acumulando discretamente tokens THE, construyendo una posición equivalente al 84 % del límite de suministro de 14,5 millones de THE de Venus. La financiación inicial — 7.400 ETH — llegó a través de Tornado Cash, el mezclador de criptomonedas sancionado, lo que hizo que la identidad del atacante fuera virtualmente irrastreable.

La lenta acumulación cumplió un doble propósito. Primero, evitó activar alarmas de liquidez o movimientos bruscos de precios que pudieran alertar al monitoreo de riesgos de Venus. Segundo, le dio al atacante un enorme fondo de guerra para desplegar cuando llegara el momento adecuado.

Para cuando se lanzó el ataque, el atacante controlaba una parte dominante del suministro disponible de THE, preparando el escenario para una manipulación de oráculo de manual.

El ataque: un ciclo de destrucción en cuatro pasos

El exploit siguió una secuencia precisa que se desarrolló en minutos el domingo:

Paso 1: Evadir el límite de suministro. Venus tenía un límite de suministro que restringía los depósitos de THE. El atacante eludió esto transfiriendo directamente tokens THE al contrato vTHE — la representación interna de Venus del THE depositado — en lugar de pasar por la función de depósito normal. Este "ataque de donación" infló la tasa de cambio que el protocolo reconocía, permitiendo al atacante construir una posición de 53,2 millones de THE — más de 3,5 veces el límite autorizado.

Paso 2: Inflar el precio de THE. Con una liquidez on-chain escasa para THE, una presión de compra relativamente modesta hizo que el precio se disparara de 0,27 acasi5a casi 5 — un aumento de 18 veces. El atacante depositó THE como colateral, pidió prestados otros activos contra él, usó esos activos prestados para comprar más THE y repitió el ciclo a medida que el oráculo de precio promedio ponderado por tiempo de Venus se actualizaba para reflejar el mercado manipulado.

Paso 3: Drenar activos valiosos. Con el colateral de THE inflado artificialmente, el atacante pidió prestados activos reales y líquidos: 20 BTC, 1,516 millones de CAKE, 1,58 millones de USDC y 2.801 BNB — convirtiendo el valor manipulado en papel en activos tangibles a través de múltiples mercados.

Paso 4: Salida. Una vez que se completaron los préstamos, el precio de THE colapsó de nuevo hacia su valor real, dejando a Venus con un colateral enormemente sobrevalorado frente a deudas reales. El protocolo se quedó con aproximadamente 2,15 millones de $ en deuda incobrable — 1,18 millones de CAKE y 1,84 millones de tokens THE que ya no están adecuadamente respaldados.

La auditoría que fue ignorada

Quizás el detalle más condenatorio: este vector de ataque exacto fue señalado durante la auditoría de seguridad de Venus realizada por Code4rena. Los auditores identificaron el ataque de donación como una vulnerabilidad conocida en los protocolos de préstamos derivados de Compound — una categoría que incluye a Venus.

El equipo de Venus cuestionó el hallazgo, argumentando que las donaciones directas de tokens eran un "comportamiento admitido sin efectos secundarios negativos".

Estaban equivocados.

El mecanismo de donación permitió al atacante eludir los límites de suministro por completo, lo cual fue la pieza clave de todo el exploit. Sin esa evasión, el atacante nunca habría podido construir una posición lo suficientemente grande como para manipular el precio de THE de manera efectiva. Una vulnerabilidad conocida y documentada, descartada como un problema menor, se convirtió en el punto de entrada para un robo multimillonario.

Esto plantea preguntas incómodas para cada protocolo DeFi que se ejecuta en código bifurcado: ¿cuántos otros hallazgos de auditoría cuestionados son bombas de tiempo?

Respuesta de Venus e impacto en el mercado

Venus se movió rápidamente una vez que se detectó el exploit:

  • Pausa inmediata de préstamos y retiros para THE, junto con varios otros mercados que mostraban una alta concentración de liquidez — incluidos BCH, LTC, UNI, AAVE, FIL y TWT.
  • Endurecimiento de las reglas de colateral en toda la plataforma.
  • Investigación lanzada con planes para revisar los mecanismos de oráculo para prevenir ataques similares.
  • El precio del token THE cayó aproximadamente un 17 % tras el exploit, impactando el ecosistema más amplio de Thena.

El incidente ocurre en un momento especialmente delicado para Venus. El protocolo acababa de lanzar Venus Flux en febrero de 2026, una capa de liquidez integrada que busca consolidar préstamos, créditos, trading y estrategias apalancadas en BNB Chain. El exploit de 3,7 millones de $ socava la narrativa de generación de confianza que el lanzamiento del nuevo producto pretendía establecer.

El problema recurrente de los oráculos en DeFi

El exploit de Venus está lejos de ser un incidente aislado. El primer trimestre de 2026 ya ha registrado $ 112,5 millones en pérdidas por hackeos de criptomonedas solo entre enero y febrero, según datos de PeckShield. El año completo de 2025 vio la asombrosa cifra de $ 3.400 millones robados, donde la manipulación de oráculos y los ataques de flash loans representaron una parte significativa.

El desafío fundamental permanece inalterado: los protocolos de préstamo DeFi necesitan datos de precios precisos para funcionar, pero los feeds de precios on-chain para tokens de baja liquidez pueden ser manipulados por cualquier persona con suficiente capital. Los flash loans amplifican este problema al dar a los atacantes acceso a un enorme capital temporal a costo cero.

El patrón es deprimentemente familiar:

  • Token de baja liquidez listado como colateral — THE tenía un volumen de negociación escaso en relación con los límites de suministro de Venus
  • Dependencia del oráculo en datos manipulables — Los precios promedio ponderados en el tiempo (TWAP) aún presentan retrasos frente a una manipulación rápida de precios
  • Evasión del límite de suministro — El vector de ataque por donación hizo que los controles de riesgo de Venus fueran ineficaces
  • Los activos prestados son líquidos y estables — BTC, BNB, CAKE y USDC son fácilmente movibles y mantienen su valor

Este mismo patrón apareció en el exploit de $ 5 millones de Makina DeFi a principios de marzo de 2026, que también utilizó la manipulación de oráculos de AMM. La industria ha estado discutiendo los estándares "Flash Loan 2.0" con protecciones de oráculo integradas y guardas de reentrada, pero la adopción sigue siendo desigual.

Lecciones para desarrolladores y usuarios

El ataque a Venus refuerza varios principios críticos para cualquier persona que construya o utilice protocolos DeFi:

Tome en serio los hallazgos de las auditorías. Cuando los auditores profesionales señalan una vulnerabilidad — incluso una que parezca teórica — el costo de la mitigación es casi siempre menor que el costo de un exploit. El descarte por parte de Venus del hallazgo del ataque de donación de Code4rena es una historia de advertencia que se estudiará durante años.

Los límites de suministro son tan fuertes como su ejecución. Si los tokens pueden eludir los límites a través de transferencias directas de contratos, los límites son puro teatro. Los protocolos deben validar el suministro total a nivel de contrato, no solo a través de verificaciones en la función de depósito.

El colateral de baja liquidez es colateral de alto riesgo. Listar tokens con volúmenes de negociación escasos como colateral crea una superficie de ataque proporcional a la brecha entre la liquidez del token y la capacidad de préstamo del protocolo. Los protocolos necesitan parámetros de riesgo dinámicos que respondan a las condiciones de liquidez en tiempo real.

Los oráculos ponderados en el tiempo son insuficientes para activos ilíquidos. Los oráculos TWAP asumen que la manipulación sostenida de precios es costosa. Para tokens con baja liquidez, el costo de la manipulación sostenida puede ser trivialmente pequeño en relación con el beneficio potencial de un exploit.

Nueve meses de paciencia deberían preocupar a todos. La voluntad del atacante de pasar nueve meses acumulando tokens sugiere un nivel de sofisticación y planificación que la mayoría de los equipos de protocolos no consideran en sus modelos de amenazas. La seguridad DeFi necesita considerar estrategias de ataque de largo plazo, no solo exploits de transacciones atómicas.

¿Qué sigue?

El desafío inmediato de Venus Protocol es recuperarse de los $ 2,15 millones en deuda incobrable y restaurar la confianza en su gestión de riesgos. El ecosistema DeFi en general enfrenta una pregunta más difícil: cómo listar diversos tipos de colaterales sin crear superficies de manipulación de oráculos.

Varios enfoques están ganando terreno:

  • Feeds de precios externos de Chainlink y Pyth que agregan datos de múltiples fuentes y son más difíciles de manipular
  • Circuit breakers (interruptores de seguridad) que pausan los mercados cuando los precios se desvían más allá de los rangos esperados en periodos cortos de tiempo
  • Límites de suministro estrictos relativos a la liquidez que vinculan los límites de colateral a la liquidez on-chain en tiempo real en lugar de umbrales estáticos
  • Verificación formal de la ejecución de los límites de suministro, asegurando que ninguna ruta de código — incluidas las transferencias directas — pueda evadir los límites del protocolo

El exploit de Venus es un recordatorio de que la componibilidad de DeFi es un arma de doble filo. La misma apertura que permite la innovación sin permisos también permite la explotación sin permisos. Para que el ecosistema madure, los protocolos deben tratar los hallazgos de las auditorías de seguridad como tareas obligatorias, no como sugerencias — y deben diseñar sus defensas para atacantes que piensan en meses, no en milisegundos.

¿Está construyendo en BNB Chain u otras redes de blockchain? BlockEden.xyz proporciona endpoints de RPC de grado empresarial e infraestructura de blockchain diseñada con la confiabilidad y la seguridad como pilares fundamentales. Explore nuestro mercado de APIs para construir sobre bases en las que puede confiar.

Share on Twitter