Saltar para o conteúdo principal

O Roubo de $ 3,7 Milhões do Venus Protocol: Como um Plano de Nove Meses Explorou uma Vulnerabilidade Conhecida na BNB Chain

· 9 min de leitura
Dora Noda
Dora Noda
Software Engineer

Uma auditoria de segurança sinalizou o vetor de ataque exato meses antes. A equipe o descartou. No domingo, um invasor fugiu com $ 3,7 milhões.

O Venus Protocol, a plataforma de empréstimo dominante na BNB Chain com aproximadamente 1,47bilha~oemvalortotalbloqueado,sofreuumaexplorac\ca~odevastadorademanipulac\ca~odeprec\coem15demarc\code2026.OinvasorvisouoTHEotokennativodaexchangedescentralizadaThenainflandoseuprec\code1,47 bilhão em valor total bloqueado, sofreu uma exploração devastadora de manipulação de preço em 15 de março de 2026. O invasor visou o THE — o token nativo da exchange descentralizada Thena — inflando seu preço de 0,27 para quase 5pormeiodeumloopcuidadosamenteorquestradodedepoˊsitos,empreˊstimosecompras.Oresultado:maisde5 por meio de um loop cuidadosamente orquestrado de depósitos, empréstimos e compras. O resultado: mais de 3,7 milhões drenados em BTC, CAKE, USDC e BNB, com aproximadamente $ 2,15 milhões persistindo como dívida incobrável (bad debt) irrecuperável.

O que torna este ataque notável não é apenas sua escala, mas a paciência por trás dele — e o fato de que a vulnerabilidade estava escondida à vista de todos.

Nove Meses de Preparação

A maioria das explorações de DeFi ocorre em minutos. Esta começou em junho de 2025.

A análise on-chain revela que o invasor passou nove meses acumulando silenciosamente tokens THE, construindo uma posição igual a 84% do limite de suprimento de 14,5 milhões de THE da Venus. O financiamento inicial — 7.400 ETH — chegou via Tornado Cash, o mixer de criptomoedas sancionado, tornando a identidade do invasor virtualmente irrastreável.

A acumulação lenta serviu a um propósito duplo. Primeiro, evitou disparar alarmes de liquidez ou movimentos repentinos de preços que poderiam alertar o monitoramento de risco da Venus. Segundo, deu ao invasor um enorme fundo de guerra para mobilizar quando o momento fosse oportuno.

No momento em que o ataque foi lançado, o invasor controlava uma fatia dominante do suprimento disponível de THE — preparando o cenário para uma manipulação de oráculo clássica.

O Ataque: Um Loop de Destruição em Quatro Etapas

A exploração seguiu uma sequência precisa que se desenrolou em minutos no domingo:

Passo 1: Ignorar o limite de suprimento. A Venus tinha um limite de suprimento que restringia os depósitos de THE. O invasor contornou isso transferindo diretamente tokens THE para o contrato vTHE — a representação interna da Venus de THE depositado — em vez de passar pela função de depósito normal. Este "ataque de doação" inflou a taxa de câmbio que o protocolo reconhecia, permitindo que o invasor construísse uma posição de 53,2 milhões de THE — mais de 3,5 vezes o limite autorizado.

Passo 2: Inflar o preço do THE. Com a liquidez on-chain escassa para o THE, uma pressão de compra relativamente modesta fez o preço disparar de 0,27paraquase0,27 para quase 5 — um aumento de 18x. O invasor depositou THE como garantia (collateral), tomou outros ativos emprestados contra ele, usou esses ativos emprestados para comprar mais THE e repetiu o ciclo à medida que o oráculo de preço médio ponderado pelo tempo da Venus se atualizava para refletir o mercado manipulado.

Passo 3: Drenar ativos valiosos. Com a garantia de THE artificialmente inflada, o invasor tomou emprestado ativos reais e líquidos: 20 BTC, 1,516 milhão de CAKE, 1,58 milhão de USDC e 2.801 BNB — convertendo o valor nominal manipulado em ativos tangíveis em vários mercados.

Passo 4: Sair. Assim que o empréstimo foi concluído, o preço do THE colapsou de volta ao seu valor real, deixando a Venus com garantias vastamente supervalorizadas contra dívidas reais. O protocolo ficou com aproximadamente $ 2,15 milhões em dívida incobrável — 1,18 milhão de CAKE e 1,84 milhão de tokens THE que não estão mais adequadamente garantidos.

A Auditoria que Foi Ignorada

Talvez o detalhe mais condenável: este exato vetor de ataque foi sinalizado durante a auditoria de segurança da Code4rena da Venus. Os auditores identificaram o ataque de doação como uma vulnerabilidade conhecida em protocolos de empréstimo bifurcados do Compound — uma categoria que inclui a Venus.

A equipe da Venus contestou a descoberta, argumentando que as doações diretas de tokens eram um "comportamento suportado sem efeitos colaterais negativos".

Eles estavam errados.

O mecanismo de doação permitiu que o invasor ignorasse completamente os limites de suprimento, o que foi a peça-chave de toda a exploração. Sem esse desvio, o invasor jamais poderia ter construído uma posição grande o suficiente para manipular o preço do THE de forma eficaz. Uma vulnerabilidade conhecida e documentada, descartada como um não-problema, tornou-se o ponto de entrada para um roubo de milhões de dólares.

Isso levanta questões desconfortáveis para cada protocolo DeFi que opera com código bifurcado: quantas outras descobertas de auditoria contestadas são bombas-relógio?

Resposta da Venus e Impacto no Mercado

A Venus agiu rapidamente assim que a exploração foi detectada:

  • Pausa imediata de empréstimos e saques para THE, juntamente com vários outros mercados que mostram alta concentração de liquidez — incluindo BCH, LTC, UNI, AAVE, FIL e TWT
  • Regras de garantia mais rígidas em toda a plataforma
  • Investigação lançada com planos para revisar os mecanismos de oráculo para prevenir ataques semelhantes
  • O preço do token THE caiu aproximadamente 17% após a exploração, impactando o ecossistema mais amplo da Thena

O incidente ocorre em um momento particularmente sensível para a Venus. O protocolo tinha acabado de lançar o Venus Flux em fevereiro de 2026, uma camada de liquidez integrada que visa consolidar empréstimos, financiamentos, negociações e estratégias alavancadas na BNB Chain. A exploração de $ 3,7 milhões prejudica a narrativa de construção de confiança que o lançamento do novo produto pretendia estabelecer.

O Problema Recorrente de Oráculos do DeFi

O exploit da Venus está longe de ser um incidente isolado. O primeiro trimestre de 2026 já registrou US112,5milho~esemperdasporhacksdecriptoapenasentrejaneiroefevereiro,deacordocomdadosdaPeckShield.Oanocompletode2025viuimpressionantesUS 112,5 milhões em perdas por hacks de cripto apenas entre janeiro e fevereiro, de acordo com dados da PeckShield. O ano completo de 2025 viu impressionantes US 3,4 bilhões roubados, com a manipulação de oráculos e ataques de empréstimos relâmpago (flash loans) representando uma parcela significativa.

O desafio fundamental permanece inalterado: os protocolos de empréstimo DeFi precisam de dados de preços precisos para funcionar, mas os feeds de preços on-chain para tokens de baixa liquidez podem ser manipulados por qualquer pessoa com capital suficiente. Os flash loans amplificam esse problema ao dar aos atacantes acesso a um enorme capital temporário a custo zero.

O padrão é depressivamente familiar:

  • Token de baixa liquidez listado como colateral — THE tinha um volume de negociação baixo em relação aos limites de fornecimento (supply caps) da Venus
  • Dependência do oráculo em dados manipuláveis — Os preços médios ponderados pelo tempo (TWAP) ainda ficam atrás da manipulação rápida de preços
  • Bypass do limite de fornecimento — O vetor de ataque de doação tornou os controles de risco da Venus ineficazes
  • Os ativos emprestados são líquidos e estáveis — BTC, BNB, CAKE e USDC são facilmente transferíveis e mantêm seu valor

Esse mesmo padrão apareceu no exploit de US$ 5 milhões da Makina DeFi no início de março de 2026, que também utilizou manipulação de oráculo AMM. A indústria tem discutido padrões "Flash Loan 2.0" com proteções de oráculo integradas e guardas de reentrada, mas a adoção permanece desigual.

Lições para Construtores e Usuários

O ataque à Venus reforça vários princípios críticos para qualquer pessoa que esteja construindo ou usando protocolos DeFi:

Leve as descobertas de auditoria a sério. Quando auditores profissionais sinalizam uma vulnerabilidade — mesmo uma que pareça teórica — o custo da mitigação é quase sempre menor do que o custo de um exploit. A rejeição da Venus em relação à descoberta do ataque de doação da Code4rena é um conto de advertência que será estudado por anos.

Os limites de fornecimento são tão fortes quanto sua aplicação. Se os tokens podem ignorar os limites por meio de transferências diretas de contrato, os limites são apenas teatro. Os protocolos devem validar o fornecimento total no nível do contrato, não apenas por meio de verificações de função de depósito.

Colateral de baixa liquidez é colateral de alto risco. Listar tokens com baixos volumes de negociação como colateral cria uma superfície de ataque proporcional à lacuna entre a liquidez do token e a capacidade de empréstimo do protocolo. Os protocolos precisam de parâmetros de risco dinâmicos que respondam às condições de liquidez em tempo real.

Oráculos ponderados pelo tempo são insuficientes para ativos ilíquidos. Oráculos TWAP assumem que a manipulação sustentada de preços é cara. Para tokens com baixa liquidez, o custo da manipulação sustentada pode ser trivialmente pequeno em relação ao lucro potencial de um exploit.

Nove meses de paciência devem preocupar a todos. A disposição do atacante de passar nove meses acumulando tokens sugere um nível de sofisticação e planejamento que a maioria das equipes de protocolos não considera em seus modelos de ameaça. A segurança DeFi precisa considerar estratégias de ataque de longo prazo, não apenas exploits de transações atômicas.

O Que Vem a Seguir

O desafio imediato do Venus Protocol é se recuperar dos US$ 2,15 milhões em dívidas ruins e restaurar a confiança em sua gestão de risco. O ecossistema DeFi mais amplo enfrenta uma questão mais difícil: como listar diversos tipos de colaterais sem criar superfícies de manipulação de oráculos.

Várias abordagens estão ganhando tração:

  • Feeds de preços externos da Chainlink e Pyth que agregam dados de várias fontes e são mais difíceis de manipular
  • Circuit breakers (disjuntores) que pausam os mercados quando os preços se desviam além das faixas esperadas em curtos intervalos de tempo
  • Limites de fornecimento estritos relativos à liquidez que vinculam os limites de colateral à liquidez on-chain em tempo real, em vez de limites estáticos
  • Verificação formal da aplicação do limite de fornecimento, garantindo que nenhum caminho de código — incluindo transferências diretas — possa contornar os limites do protocolo

O exploit da Venus é um lembrete de que a composabilidade do DeFi é uma faca de dois gumes. A mesma abertura que permite a inovação sem permissão também permite a exploração sem permissão. Para o ecossistema amadurecer, os protocolos devem tratar as descobertas de auditorias de segurança como itens de ação, não sugestões — e devem projetar suas defesas para atacantes que pensam em meses, não em milissegundos.

Construindo na BNB Chain ou em outras redes blockchain? O BlockEden.xyz fornece endpoints RPC de nível empresarial e infraestrutura de blockchain projetada com confiabilidade e segurança no núcleo. Explore nosso marketplace de APIs para construir em bases em que você pode confiar.

Share on Twitter