Le 15 mars, la plateforme d'atterrissage du protocole Venus sur la blockchain BNB a été piratée. L'attaquant a ciblé le token THE du projet DeFi Thena.
Notre responsable de la gestion des risques chez @AllezLabs partage les informations dont nous disposons à ce jour. Nous continuerons à vous informer de l'avancement de l'enquête. https://t.co/VeBsdzDMXH
— Protocole Vénus (@VenusProtocol) 15 mars 2026
L'attaquant a profité de la faible liquidité du THE et a procédé à une manipulation classique de l'oracle de prix. Il a déposé le token en garantie, contracté un prêt garanti par ce dépôt sur d'autres actifs, puis racheté immédiatement du THE supplémentaire et répété l'opération. Toutes ces actions étaient parfaitement synchronisées avec les mises à jour des données de l'oracle temporaire.
L'opportunité d'une telle attaque est apparue après que Venus a ajouté THE à la liste des actifs de garantie de son principal pool.
Détails de l'attaque
L'un des premiers à signaler l'incident fut Weilin Li, spécialiste de la blockchain. Selon lui, le pirate a artificiellement gonflé le prix de la cryptomonnaie, le faisant passer de 0,27 $ à près de 5 $.
https://t.co/RV18WHJalA
– Weilin (William) Li (@hklst4r) 15 mars 2026
L'expert a comparé cette attaque au piratage de la plateforme DeFi Mango Markets, survenu en 2022.
Pour contourner la limite de dépôt de THE sur Venus, l'attaquant a utilisé une attaque par donation. Il a transféré des jetons directement dans le contrat intelligent vTHE, court-circuitant ainsi la procédure d'émission standard. Cela a artificiellement gonflé le taux de change de la plateforme et permis de contourner la limite établie.
Après la première vague d'emprunts, l'oracle temporaire Vénus a mis à jour le prix du THE à 0,5 $. L'indicateur était nettement en retard par rapport aux cours au comptant, mais était presque le double du niveau initial.
L'attaquant a tenté de poursuivre le cycle en achetant davantage de THE avec des fonds empruntés, mais n'a pas pu résister à la pression des vendeurs. Le facteur de santé a chuté à presque un, et le protocole a liquidé la position.
Le montant nominal des garanties s'élevait à 30 millions de dollars, mais le marché était trop peu liquide pour une telle vente ; l'action s'est effondrée comme un château de cartes. Après la liquidation, le cours est tombé à 0,24 $.
Le pirate informatique n'a rien créé.
Selon Lee, le pirate n'a pratiquement rien gagné et a probablement même perdu de l'argent. Il n'a toutefois pas exclu que l'attaquant ait utilisé des contrats à terme perpétuels sur des plateformes tierces pour se couvrir contre les risques.
Un analyste sous le pseudonyme d'EmberCN a estimé la dette irrécouvrable de Venus à 2,15 millions de dollars, soit 1,18 million de CAKE et 1,84 million de THE de prêts en cours. Il a également noté que le capital initial de l'attaquant (7 400 ETH) provenait du service de mixage Tornado Cash.
L'adresse qui a reçu 7400 ETH de Tornado (hacker ?) était la force motrice derrière les liquidations de garanties de la soirée pour CAKE et THE.
Cela a entraîné un déficit d'environ 2,15 millions de dollars pour Venus suite à des liquidations (1,18 million de CAKE + 1,84 million de THE), tandis que le pirate a reçu environ 5,07 millions de dollars de fonds de Venus (2 172 BNB + 1,516 million de CAKE + 20 BTC).1) Initialement, via l'adresse 0x7a7…234, j'ai reçu 7 400 de Tornado… pic.twitter.com/W6YwQpKJQF
– Ember (@EmberCN) 15 mars 2026
« Il a emprunté 9,92 millions d'USDT pour faire sensation, mais les actifs retirés de Venus ne valaient que 5,07 millions de dollars. Sur la blockchain, l'opération est déficitaire, mais je soupçonne qu'il a profité de la baisse du THE suite à des liquidations et réalisé des profits sur le CEX », a noté l'expert.
Rappelons qu'en mars 2025, Venus a perdu plus de 716 000 $ à la suite d'une attaque similaire par manipulation d'oracle.