La faille de sécurité du protocole Venus déclenche une perte de 3.7 millions de dollars suite à la manipulation du token THE sur la chaîne BNB

Une nouvelle faille exploitée sur un marché de prêt leader de la BNB Chain a ravivé les inquiétudes concernant la gestion des risques en DeFi, la dernière attaque contre le protocole Venus étant à nouveau liée à des faiblesses dans les oracles et la liquidité.

Comment la manipulation du prix THE s’est déroulée sur Venus

Dimanche, Venus Protocol, la plateforme de prêt dominante sur la BNB Chain, a été victime d’une attaque sophistiquée de manipulation de prix centrée sur THE, le jeton natif de Thena. L’incident, qui ciblait un marché d’actifs spécifique, a révélé des faiblesses structurelles dans l’intégration des collatéraux et les hypothèses de liquidité.

L’attaquant a exploité une faible liquidité en chaîne pour faire passer le prix de THE d’environ 0,27 $ à près de 5 $. Sa stratégie reposait sur des dépôts répétés du jeton en tant que collatéral, l’emprunt d’autres actifs, l’achat de plus de THE avec les fonds empruntés, puis la répétition de ce processus. De plus, l’oracle de prix de Venus continuait à suivre la valeur de marché artificiellement gonflée durant ces cycles.

Pour contourner le plafond de l’offre de THE sur Venus, le perpetrateur a utilisé une technique d’attaque par donation. Au lieu d’utiliser la fonction de dépôt standard, il a transféré directement des jetons dans le contrat intelligent vTHE. Ce flux a faussé le taux d’échange interne du protocole, neutralisant ainsi les limitations d’offre prévues et permettant la création de collatéraux excessifs.

En utilisant le collatéral gonflé, l’exploitant a drainé plusieurs actifs du protocole. Il a retiré 6,67 millions de CAKE, 1,58 million d’USDC, 2 801 BNB et 20 Bitcoin en une courte période, convertissant la valorisation manipulée de THE en valeur réelle à travers plusieurs jetons liquides.

Estimations des pertes, créances douteuses et réponse d’urgence

Les dommages totaux de l’attaque dépassent 3,7 millions de dollars, selon Wu Blockchain. Cependant, une partie de cette perte ne reste pas en exposition ouverte. L’analyste indépendant EmberCN a estimé qu’environ 2,15 millions de dollars persistent sous forme de créances douteuses sur Venus, composées d’environ 1,18 million de CAKE et 1,84 million de THE qui ne sont plus suffisamment garantis.

L’adresse du portefeuille derrière l’opération a initialement été financée avec 7 400 ETH via Tornado Cash, le mélangeur de cryptomonnaies axé sur la confidentialité. Cependant, l’utilisation de tels outils est courante dans les exploits complexes, ce qui complique l’attribution et les efforts de récupération pour les enquêteurs et les protocoles affectés.

En réponse, Venus Protocol a annoncé sur X avoir détecté une « activité inhabituelle » dans la pool de liquidité THE. L’équipe a rapidement gelé toutes les fonctions d’emprunt et de retrait liées à THE, qualifiant cette décision de mesure de sécurité d’urgence en attendant un audit de sécurité interne et externe.

Les compromis de l’attaquant et la perte nette potentielle

Le processus d’exploitation ne s’est pas déroulé exactement comme prévu par l’attaquant. Après la première boucle d’emprunt, l’oracle de prix pondéré dans le temps de Venus n’a ajusté la valorisation de THE qu’à environ 0,50 $, bien en dessous des près de 5 $ observés lors du trading spot. Cela a réduit la valeur effective du collatéral dans le protocole.

Néanmoins, l’attaquant a continué à acquérir THE en utilisant des capitaux empruntés, tentant de maintenir le prix élevé et de maximiser la capacité d’emprunt. Cependant, une pression de vente soutenue a submergé le carnet d’ordres peu profond. La santé du compte s’est approchée de 1, déclenchant des liquidations et forçant la vente du collatéral dans un marché en chute rapide.

La liquidation s’est produite dans un marché presque sans profondeur. THE a chuté à environ 0,24 $, inférieur même à son prix avant l’attaque proche de 0,27 $. Le chercheur en sécurité en chaîne Weilin Li, qui a signalé l’incident publiquement en premier, a suggéré que l’attaquant n’a probablement réalisé qu’un profit limité en chaîne et pourrait finalement avoir enregistré une perte nette.

Au moment de la publication, THE se négociait autour de 0,2255 $, en baisse de plus de 17 % en 24 heures. De plus, cette forte inversion souligne à quel point la volatilité extrême des actifs peu liquides peut inverser l’économie d’une manipulation initialement lucrative.

Une série d’incidents de créances douteuses chez Venus

Ce dernier incident de Venus Protocol s’ajoute à une histoire de pertes liées à la manipulation de marché et à la conception des collatéraux. En 2021, un stratagème impliquant le jeton natif XVS de la plateforme a généré plus de 95 millions de dollars de créances douteuses, laissant le protocole et sa communauté avec un trou important à combler.

Ensuite, lors de l’effondrement de Terra/LUNA en 2022, Venus a absorbé environ 14 millions de dollars d’exposition non garantis. Ces pertes ont été causées par une défaillance systémique du marché plutôt que par une exploitation directe, mettant en lumière une dimension différente mais liée du risque dans les plateformes de prêt multi-actifs.

Plus récemment, en février 2025, une attaque similaire basée sur une donation a frappé le déploiement de Venus sur ZKSync. Les attaquants ont utilisé des mécanismes presque identiques à celui de dimanche pour créer plus de 700 000 dollars de créances douteuses. La répétition de ce schéma dans différents environnements a intensifié la surveillance sur la gestion des collatéraux et des comportements extrêmes par le protocole.

Risques liés à la conception basée sur Compound et avertissements ignorés

La vulnérabilité principale utilisée ici n’est pas spécifique à Venus Protocol. L’exploitation par donation représente une faiblesse de conception connue dans les systèmes de prêt dérivés de Compound, où les transferts directs de jetons vers des marchés rémunérateurs peuvent fausser la comptabilité qui sous-tend la valorisation des collatéraux et la logique du plafond d’offre.

Il est important de noter que la revue de sécurité Code4rena de Venus avait déjà signalé ce type de risque. Cependant, l’équipe de développement aurait à l’époque minimisé la gravité de cette vulnérabilité, choisissant de ne pas déployer de mitigation complète. La récurrence d’une attaque presque identique remet aujourd’hui en question cette décision, suscitant de nouvelles critiques de la part des chercheurs en sécurité et des utilisateurs.

Pour les marchés DeFi sur la BNB Chain et au-delà, le dernier piratage de Venus renforce l’idée que des problèmes théoriques connus peuvent se transformer en pertes réelles si aucune mesure n’est prise. À l’avenir, un contrôle plus strict de la liquidité des collatéraux, des sources d’oracles et des transferts par donation sera probablement essentiel pour restaurer la confiance.

En résumé, l’attaque contre Venus impliquant THE, combinant manipulation de prix, dépendance à l’oracle et vecteur de donation pour générer plus de 3,7 millions de dollars de dégâts, a encore une fois mis en lumière les risques structurels de longue date dans les protocoles de prêt basés sur Compound.