Venus Protocol afectado por presunto exploit de $3.7M tras manipulación del límite de suministro

La plataforma de préstamos descentralizada Venus Protocol está investigando un presunto exploit que pudo haber drenado más de $3.7 millones en activos digitales de su Core Pool en BNB Chain.

El incidente salió a la luz después de que datos en cadena señalaran actividad de préstamo inusual vinculada a una billetera identificada como 0x1a35…6231. La dirección logró extraer una combinación de activos, incluyendo aproximadamente 20 BTC, 1.5 millones de CAKE, y alrededor de 200 BNB, después de aprovechar una gran posición en tokens THE como colateral.

Según análisis preliminares, el atacante utilizó el colateral para pedir prestados varios activos del protocolo, incluyendo CAKE, BTCB y BNB. El valor total de los activos prestados superó los $3.7 millones antes de que comenzaran los eventos de liquidación.

Al momento de escribir, decenas de millones de tokens THE que fueron utilizados como colateral están siendo liquidados, lo que sugiere que los mecanismos de riesgo del protocolo ya se han activado.

El equipo de Venus reconoció la situación y confirmó que ya se han tomado varias medidas de precaución mientras continúa la investigación.

El Ataque se Dirige a los Controles de Límite de Suministro

El exploit parece girar en torno a una manipulación del límite de suministro que involucra el mercado de tokens THE dentro del Venus Core Pool.

Los límites de suministro están diseñados para limitar cuánto de un activo en particular puede ser utilizado dentro de un mercado de préstamos. Actúan como una salvaguarda para prevenir una exposición excesiva a un solo token.

En este caso, sin embargo, el atacante logró eludir esa restricción.

Como precaución, Venus ha pausado los préstamos y retiros para THE. El equipo también detuvo la actividad en varios mercados donde la concentración de liquidez podría representar un riesgo adicional.

Los mercados pausados incluyen:

•  BCH
•  LTC
•  UNI
•  AAVE
•  FIL
•  TWT

A pesar de la interrupción, Venus aclaró que la mayoría de los demás mercados en el protocolo permanecen completamente operativos.

Los investigadores de seguridad que rastrean el incidente creen que el exploit no fue espontáneo. En cambio, parece haber sido planificado y ejecutado en múltiples etapas durante varios meses.

Meses de Acumulación Silenciosa

Uno de los detalles más sorprendentes del exploit es cuánto tiempo parece haber durado la fase de preparación.

Los datos en cadena sugieren que el atacante comenzó a acumular tokens THE desde junio de 2025.

En lugar de hacer grandes compras de una sola vez, la billetera construyó gradualmente su posición durante el transcurso de nueve meses. Para cuando se desarrolló el ataque, la dirección había acumulado alrededor del 84% del límite de suministro del token en Venus, que ascendía a 14.5 millones de THE.

A las 11:00 UTC del día del exploit, la billetera ya había suministrado 12.2 millones de THE al protocolo, cómodamente dentro del límite permitido.

Nada sobre la posición parecía inusual en ese momento, lo que puede explicar por qué la actividad pasó en gran medida desapercibida hasta más tarde.

El verdadero avance llegó cuando el atacante encontró una manera de expandir esa posición mucho más allá del límite.

Eludiendo el Límite de Suministro

En lugar de usar el proceso de depósito estándar, el atacante transfirió tokens directamente al contrato del protocolo Venus.

Al hacerlo, lograron eludir el sistema que normalmente aplica los límites de suministro.

Esto permitió que la billetera aumentara drásticamente su posición de colateral en un período muy corto.

La línea de tiempo muestra cuán rápidamente escalaron las cosas:

•  11:00 UTC: 12.2 millones de THE suministrados (dentro del límite)
•  12:00 UTC: 49.5 millones de THE suministrados (más de 3 veces el límite)
•  12:42 UTC: 53.2 millones de THE suministrados

A las 12:42 UTC, el atacante había construido una posición de colateral masiva totalizando 53.2 millones de tokens THE, aproximadamente 3.67 veces el límite previsto del protocolo.

Con una base de colateral tan grande en su lugar, el atacante podría comenzar a pedir prestados activos de la plataforma.

El Préstamo Recursivo Empuja el Precio de THE Más Alto

Después de establecer la posición de colateral sobredimensionada, el atacante pasó a la siguiente etapa, manipulando el precio del token a través de un bucle de préstamo recursivo.

La estrategia siguió un ciclo repetitivo:

Depositar THE → Pedir prestados activos → Comprar más THE → Esperar actualización del oráculo → Aumentar valor del colateral → Repetir

Debido a que THE tenía una liquidez en cadena relativamente baja, incluso compras moderadas tenían un impacto notable en su precio.

A medida que el bucle continuaba, el precio del oráculo del token subió bruscamente. Los datos muestran que el precio se movió de alrededor de $0.27 a casi $0.53 durante el ataque.

Este aumento artificial de precio impulsó el valor del colateral del atacante, lo que a su vez le permitió pedir prestadas cantidades aún mayores del protocolo.

Una vez que la manipulación terminó y comenzaron las liquidaciones, sin embargo, el precio se revirtió rápidamente, cayendo a aproximadamente $0.24.

Los Activos Prestados Alcanzan Millones

En el pico del exploit, registrado en el bloque 86738236 alrededor de las 12:42 UTC, la posición del atacante había crecido sustancialmente.

La billetera había suministrado 53.2 millones de tokens THE como colateral.

Contra ese colateral, el atacante pidió prestados múltiples activos de Venus, incluyendo:

•  6.67 millones de CAKE
•  2,801 BNB
•  1.97K WBNB
•  1.58 millones de USDC
•  20 BTCB

Los investigadores también identificaron una segunda dirección relacionada (0x737b) que jugó un papel en la operación.

Esa billetera había depositado previamente 1.58 millones de USDC como colateral y pidió prestados 4.63 millones de tokens THE en la misma transacción que inició el ataque principal a las 11:55 UTC.

Las liquidaciones para esta posición secundaria comenzaron poco después, empezando alrededor de las 12:04 UTC.

Venus Responde Mientras Continúa la Investigación

Tras el descubrimiento del exploit, el equipo de Venus actuó rápidamente para limitar el daño potencial.

El protocolo pausó el mercado THE junto con varios otros mercados en riesgo, mientras confirmaba que la mayor parte de la plataforma permanece sin afectaciones.

Los desarrolladores dicen que ahora están trabajando estrechamente con socios de seguridad e investigadores para comprender completamente lo que sucedió.

El equipo también ha prometido publicar un informe post-mortem detallado una vez que se complete la investigación.

Según el protocolo, el próximo informe probablemente incluirá correcciones técnicas y mejoras de seguridad, particularmente en torno a los mecanismos del oráculo y la aplicación del límite de suministro.

Si bien incidentes como este no son nuevos en las finanzas descentralizadas, destacan los desafíos que enfrentan los protocolos al tratar de equilibrar el acceso abierto con controles de riesgo fuertes.

Por ahora, el enfoque sigue siendo estabilizar los mercados afectados y prevenir exploits similares en el futuro.

Divulgación: Esto no es un consejo de trading o inversión. Siempre investiga antes de comprar cualquier criptomoneda o invertir en cualquier servicio.

Síguenos en X @nulltxnews para mantenerte actualizado con las últimas noticias de Cripto, NFT, IA, Ciberseguridad, Computación Distribuida y Metaverso!