Puntos clave de la noticia:
- Venus Protocol, el mayor mercado de préstamos descentralizados en BNB Chain, perdió $3,7 millones en un ataque de flash loan.
- El exploit aprovechó un error lógico en el mecanismo de contabilidad de un vault, drenando fondos antes de que las respuestas automáticas pudieran contener el daño.
- La industria avanza hacia disyuntores impulsados por IA y oráculos con pruebas de conocimiento cero, aunque el problema está lejos de resolverse.
El mayor mercado descentralizado de préstamos sobre BNB Chain sufrió un durísimo golpe. Venus Protocol fue víctima de un ataque de flash loan que resultó en pérdidas estimadas en $3,7 millones, según datos de DeBank. El exploit se desarrolló sobre un error lógico en el mecanismo de contabilidad de un vault, y la recuperación de los fondos dependerá, en gran medida, de negociaciones con hackers white-hat o de la intervención directa de la fundación.
El atacante utilizó un flash loan, un instrumento nativo de la blockchain que permite acceder a capital sin colateral siempre que la deuda se repague dentro del mismo bloque de transacción. Con esos fondos, manipuló la contabilidad interna de Venus y drenó aproximadamente $3,7 millones en cuestión de milisegundos, antes de que las salvaguardas automáticas pudieran actuar por completo.
On the $THE market incident: here's what happened and what we're doing about it.
The attacker spent 9 months slowly accumulating $THE to build a dominant supply position. They then bypassed our supply cap by directly transferring tokens to the protocol contract. This is a gap in…
— Venus Protocol (@VenusProtocol) March 16, 2026
Los Flash Loans Como Arma: la Lógica del Daño
La firma de seguridad Halborn ha descrito los flash loans no como una vulnerabilidad en sí mismos, sino como un multiplicador de fuerza capaz de convertir un pequeño error de código en un evento de pérdidas multimillonarias. El mecanismo es sencillo en teoría: el atacante inunda un pool de liquidez con capital prestado para manipular artificialmente el precio de un token. Los protocolos que leen oráculos de precio spot son engañados para tratar cifras manipuladas como legítimas. El atacante toma prestado contra colateral inflado, drena el objetivo, repaga el préstamo original y se retira con el excedente.
Venus no es el único afectado. En agosto de 2025, el protocolo de préstamos en Ethereum UwUlend perdió más de $20 millones mediante flash loans recursivos. En febrero de 2026, YieldBlox sufrió pérdidas por $10,2 millones tras la manipulación de datos de precios en un oráculo. Solo en abril de 2025, los analistas estimaron que unos $92 millones fueron drenados de protocolos recién lanzados en Base y Solana.
Venus Madura sus Defensas, Pero No Alcanza
La infraestructura de seguridad en torno a Venus ha evolucionado. Firmas como Hexagate y SlowMist realizan un monitoreo permanente de la plataforma. En un caso de finales de 2025, Hexagate detectó un contrato sospechoso dieciocho horas antes de un ataque planificado, lo que permitió pausar el protocolo en veinte minutos.
Venus también ha implementado liquidaciones forzadas y congelamiento de activos a través de la gobernanza on-chain, aunque las intervenciones manuales y los procesos de liquidación con listas blancas controladas por el equipo central de BNB Chain generan tensión con los principios de descentralización que definen al ecosistema DeFi.
Los oráculos de precios promediados en el tiempo y los límites de monto por bloque comienzan a ganar terreno. La siguiente frontera es la automatización: agentes de IA capaces de identificar patrones de flash loan en el mempool y pausar funciones vulnerables antes de que un exploit se confirme.
