Venus Protocol, der größte Kreditmarkt auf BNB Chain, erlitt am 15. März 2026 einen Exploit in Höhe von 3,7 Millionen US-Dollar, nachdem ein Angreifer den Preis des THE-Tokens mit geringer Liquidität auf THENA durch einen neunmonatigen „Supply Cap“-Angriff manipulierte.
Der Vorfall, bei dem die Plattform schätzungsweise 2,15 Millionen US-Dollar an faulen Krediten verlor, veranlasste Venus dazu, die Sicherheitenfaktoren in sieben weiteren Märkten vorsorglich auf null zu setzen, um Konzentrationsrisiken zu vermeiden.
Der Angreifer, der mit 7.400 ETH aus dem Krypto-Mixer Tornado Cash finanziert wurde, nutzte die dünne Liquidität von THE auf Venus aus, um den Preis von $0,27 auf fast $5 zu steigern, bevor eine Liquidation den Preis auf $0,24 abstürzen ließ.
Angriffsmethodik: Neunmonatige Akkumulation und Orakelmanipulation
Sicherheitsforscher und Venus’s Risikomanager, Allez Labs, haben die ausgeklügelte Mechanik hinter dem Exploit detailliert beschrieben, der die Sicherheitsmaßnahmen des Protokolls durch eine mehrphasige Strategie umging.
Die „Low and Slow“-Akkumulationsphase
Beginnend im Juni 2025 sammelte der Angreifer THE-Token schrittweise über normale Einzahlungswege über etwa neun Monate an. Diese Strategie erlaubte es, 84 % des Höchstlimits – etwa 12,2 Millionen THE – anzusammeln, ohne die üblichen Risiko-Warnungen auszulösen.
Umgehung des Supply Caps durch direkte Überweisung
Am 15. März führte der Angreifer den Exploit aus, indem er THE-Token direkt an den vTHE-Vertrag übertrug, anstatt sie durch den Standard-Minting-Prozess zu hinterlegen. Diese „Spenden-Attacke“, eine bekannte Schwachstelle in auf Compound basierenden Protokollen, erhöhte die anerkannte Versorgung sofort auf das 3,67-fache des Limits und schuf so eine enorme Sicherheitenbasis.
Rekursive Preismanipulation
Mit einer übergroßen Sicherheitenposition nutzte der Angreifer die extrem niedrige On-Chain-Liquidität von THE in Kombination mit TWAP (Time-Weighted Average Price)-Orakelverzögerungen aus. Er initiierte eine rekursive Schleife:
-
Übertragung der aufgeblähten THE-Sicherheiten
-
Aufnahme von Krediten in anderen Vermögenswerten (einschließlich BTCB, CAKE und BNB)
-
Verwendung der geliehenen Mittel, um mehr THE on-chain zu kaufen
-
Warten auf die Aktualisierung des TWAP-Orakels, um die manipulierten höheren Preise widerzuspiegeln
Der Angreifer konnte vor der Auslösung der Liquidationsmechanismen etwa 6,67 Millionen CAKE, 2.801 BNB, 1,58 Millionen USDC und 20 BTCB ausleihen.
Notfallrisikominderung: Sicherheiten-Freeze in sieben Märkten
Als Reaktion auf den Exploit und zur Eindämmung potenzieller systemischer Risiken implementierte Venus Protocol vorübergehende Parameteränderungen, die Märkte mit hoher Sicherheitenkonzentration betreffen.
Betroffene Märkte durch vorsorglichen Freeze
Venus reduzierte den Sicherheitenfaktor (CF) auf null in sieben Märkten, die aufgrund einer Konzentration von Sicherheiten bei einzelnen Nutzern über 60 % als gefährdet eingestuft wurden:
Markt
Maßnahme
Begründung
BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD
Sicherheitenfaktor auf 0 reduziert
Hohe Konzentrationsrisiken; einzelne Nutzer hielten übermäßig Sicherheitenanteile
Alle anderen Venus-Märkte bleiben in Betrieb und sind von den Vorsichtsmaßnahmen nicht betroffen.
Kriterien für Marktrisiken
Der Freeze betraf Märkte, die durch folgende Merkmale gekennzeichnet sind:
-
Marktkapitalisierung unter $2 Milliarden
-
Tägliches Handelsvolumen unter $100 Millionen
-
DEX Total Value Locked (TVL) unter $40 Millionen
-
Konzentration der Sicherheiten bei einzelnen Nutzern über 60 %
Auswirkungen des Vorfalls und Kontext des Protokolls
Der Exploit reiht sich in eine Reihe von Sicherheitsherausforderungen für Venus Protocol ein, das seit 2021 aus früheren Vorfällen faulen Kredite angesammelt hat.
Historische Ansammlung fauler Kredite
-
2021 XVS-Manipulation: Über $95 Millionen an faulen Krediten durch Preismanipulation des eigenen XVS-Tokens
-
2022 Terra/LUNA-Crash: $14 Millionen an faulen Krediten
-
2022 BNB Chain Bridge-Hack: Gestohlene BNB, die für $150 Millionen in Stablecoins geliehen wurden
-
Februar 2025 Donation Attack: $700.000 an faulen Krediten bei Venus auf ZKSync, durch identische Mechanismen
Das Total Value Locked (TVL) des Protokolls ist nach diesen Vorfällen von einem Höchststand von $7 Milliarden auf etwa $1,47 Milliarden gefallen.
THENA hat bestätigt, dass bei dem Angriff keine Schwachstellen in den Smart Contracts ausgenutzt wurden und die Nutzerfonds auf ihrer Plattform sicher bleiben.
Laufende Untersuchungen und zukünftige Berichterstattung
Venus Protocol hat seine Verpflichtung zur Transparenz bekräftigt und angekündigt, nach Abschluss der Untersuchung einen umfassenden Post-Mortem-Bericht zu veröffentlichen.
Allez Labs, der Risikomanagement-Partner von Venus, analysiert weiterhin die Angriffsvektoren und hat vorläufige Erkenntnisse veröffentlicht, die den vierstufigen Exploit-Prozess beschreiben.
Häufig gestellte Fragen
Was ist ein „Supply Cap Attack“ im DeFi-Kreditwesen?
Ein „Supply Cap Attack“ umgeht eine Sicherheitsmaßnahme eines Protokolls, die die maximale Menge eines einzelnen Vermögenswerts, der als Sicherheiten genutzt werden kann, begrenzt. In diesem Fall umging der Angreifer das Limit, indem er THE-Token direkt an den Vertrag transferierte, anstatt sie durch den Standard-Minting-Prozess zu hinterlegen. Dadurch konnte er eine Sicherheitenposition 3,67-mal größer als das Limit aufbauen, die anschließend durch Manipulation des Preis-Orakels für übermäßige Kredite genutzt wurde.
Welche Vermögenswerte wurden bei dem Venus-Protokoll-Exploit gestohlen?
Der Angreifer lieh sich mit dem aufgeblähten THE-Sicherheiten etwa $5,07 Millionen in Vermögenswerten von Venus, darunter 2.172 BNB, 1,516 Millionen CAKE-Token und 20 BTCB. Die On-Chain-Liquidation führte jedoch dazu, dass die Plattform schätzungsweise $2,15 Millionen an faulen Krediten verblieben, bestehend aus etwa 1,18 Millionen CAKE und 1,84 Millionen THE, die nicht zurückgezahlt wurden.
Wie reagierte Venus Protocol auf den Exploit?
Venus Protocol ergriff sofortige Notfallmaßnahmen, indem es alle THE-Token-Kredite und -Abhebungen pausierte. Als breitere Vorsichtsmaßnahme gegen Konzentrationsrisiken reduzierte das Protokoll die Sicherheitenfaktoren in sieben weiteren Märkten: Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL), Trust Wallet Token (TWT) und lisUSD. Alle anderen Märkte laufen normal weiter.
