Puntos claves de la noticia:
- Atacante de Venus perdió $4.7M en cadena pese a acumulación sofisticada de nueve meses.
- Venus acumuló $2.1M en deuda incobrable tras liquidaciones en mercados reducidos.
- Protocolo ignoró advertencias de manipulación de oráculo de auditoría 2023.
La auditoría de BlockSec reveló una realidad mucho más compleja que el reporte inicial sobre el ataque a Venus Protocol del domingo: el hacedor no ganó dinero sino que perdió aproximadamente $4.7 millones en operaciones on-chain.
Mientras medios reportaron un robo de $3.7 millones, análisis profundo mostró que tanto el protocolo como el atacante terminaron perdiendo capital, con Venus acumulando $2.1 millones en deuda irrecuperable tras liquidaciones de collateral en mercados de liquidez delgada.
El ataque fue meticulosamente planeado. El hacedor acumuló el token THE de Thena durante nueve meses, financiando compras a través de Tornado Cash para ocultar rastreabilidad. Una vez acumulada cantidad sustancial, el atacante superó el límite de suministro de THE permitido en Venus, manipuló el valor de su THE usado como garantía, y tomó prestados activos por valor de casi $15 millones contra ese colateral inflado.
254 bots, 8,048 liquidation txs, still $2.15M in bad debt. The attacker lost ~$4.7M on-chain. Both sides lost money.
— BlockSec Phalcon (@Phalcon_xyz) March 18, 2026
Sin embargo, cuando liquidadores automatizados comenzaron vendiendo THE en respuesta, el valor colapsó. El atacante invirtió $9.92 millones pero solo retuvo $5.2 millones después de todas las liquidaciones, generando pérdida neta on-chain de $4.7 millones.
BlockSec sugiere que ganancias reales del atacante probablemente provinieron de posiciones off-chain, posiblemente cuentas en exchanges centralizados donde la venta masiva de THE desencadenó apuestas cortas.
Un investigador de seguridad reportó ganancias de $15,000 apostando en corto contra THE mientras rastreaba el ataque. Esas operaciones externas explican cómo el atacante pudo obtener rentabilidad a pesar de pérdida on-chain, sugiriendo coordinación más sofisticada de la inicialmente asumida.
Venus Acumula Historial de Problemas Años Después de su Lanzamiento
Venus Protocol, la plataforma de lending más grande en BNB Chain con $1.45 mil millones en valor bloqueado, ha enfrentado una serie perturbadora de ataques y exploits desde su lanzamiento en 2020. El vector de ataque usado en el exploit reciente—manipulación de oracle—fue identificado en una auditoría Code4rena de 2023 pero descartado como «sin efectos negativos», un error de análisis que permitió que la vulnerabilidad permaneciera durante años.
En 2021, volatilidad del token nativo XVS condujo a $200 millones en liquidaciones y $90 millones en deuda irrecuperable. Cuando LUNA colapsó en 2022, Venus acumuló $14 millones en bad debt cuando un feed de precio Chainlink para LUNA se desplomó.
Un año después, un ataque de manipulación de oracle no detectado generó $900,000 en deuda. En 2023, el protocolo se preparó para liquidación de $150 millones en BNB derivado de hackeado anterior del puente BNB.
En septiembre reciente, un supuesto ataque de $27 millones resultó ser un usuario cayendo en scam de phishing. Después que Venus pausó operaciones, la posición del usuario fue liquidada para recuperar fondos robados.
Esa cadena de eventos—desde vulnerabilidades no arregladas hasta eventos de liquidez extrema—revela patrón donde Venus repetidamente experimenta estrés mientras ataca sucesivos exponen capas de fragilidad.
Conforme plataformas DeFi maduren, Venus debe fortalecer gobernanza de riesgos y auditoria de seguridad para prevenir que futuros exploits vuelvan a convertir ganancias de usuarios en pérdidas sistémicas.
