367% de ganancias de la nada: así un hacker solitario burló a Venus Protoco
La plataforma Venus Protocol endurece los requisitos de colateral tras perder 3,6 millones de dólares
Los proyectos de riesgo en blockchain recordaron otra vez cuán frágil puede ser su economía. La plataforma de préstamos Venus Protocol en BNB Chain perdió alrededor de $3,6 millones tras un ataque cuidadosamente planificado, en el que el atacante se aprovechó de la baja liquidez del token y de la mecánica de préstamos instantáneos.
Expertos de averiguaron que la preparación llevó varios meses. Durante ese tiempo el atacante acumuló THE, el token nativo del proyecto Thena. Al final logró reunir alrededor de 14,5 millones de THE, lo que equivale aproximadamente al 84% de las monedas en circulación.
Luego el atacante transfirió los tokens al sistema de préstamos Venus Protocol, eludiendo el procedimiento estándar de depósito. Ese movimiento permitió crear una posición artificial que superaba considerablemente el volumen real de suministro del token. En el punto máximo del esquema había alrededor de 53,2 millones de THE, un 367% más que el volumen real en circulación.
A continuación se aplicó un esquema clásico de ciclos repetidos. El atacante colocaba THE como colateral, tomaba préstamos en otros activos y con los fondos obtenidos compraba aún más THE. Cada nuevo ciclo elevaba el precio del token en el oráculo, creando la ilusión de un aumento de la demanda e inflando el valor del colateral.
Cuando el sistema alcanzó su límite, el atacante retiró los activos. El daño total fue de alrededor de $3,6 millones. Entre lo robado estaban 6,67 millones de PancakeSwap, 2801 BNB, 1,97 mil WBNB, 1,58 millones de USD Coin y 20 Bitcoin BEP2.
El equipo de Venus Protocol, tras el incidente, suspendió el mercado de THE y endureció los requisitos para los activos aceptados como colateral. Las nuevas normas elevan los umbrales de garantía y limitan el trabajo con tokens con baja liquidez o con una alta concentración en manos de grandes poseedores. Ahora estos activos deben cumplir criterios más estrictos en cuanto a capitalización, volumen de negociación y distribución del suministro.
Seis activos quedaron sujetos a las nuevas restricciones, entre ellos Bitcoin Cash, Litecoin, Uniswap, Aave, Filecoin y Trust Wallet Token.
Los problemas de seguridad en la plataforma no son nuevos. En septiembre de 2025 Venus Protocol perdió alrededor de $27 millones a causa de un ataque de phishing que dio al atacante acceso al controlador del pool principal. Entonces se utilizó un contrato malicioso que permitió controlar los activos iToken, incluidos vUSDC y vETH.
A pesar del nuevo incidente, el volumen total de fondos bloqueados en la plataforma se mantiene en torno a $1,47 mil millones y no mostró una caída brusca inmediatamente después del ataque.