Venus Protocol, un protocole de prêt décentralisé sur la blockchain BNB Chain, a subi une attaque liée au dépassement de la limite d'émission du token THE du projet Thena. En conséquence, la plateforme a suspendu plusieurs marchés. Les dommages initiaux sont estimés à plus de 2 millions de dollars, selon les représentants du projet.
En raison d'une forte concentration de liquidités, les marchés des tokens BCH, LTC, UNI, AAVE, FIL et TWT ont également été suspendus. Les autres marchés de Venus continuent de fonctionner normalement, ont précisé les développeurs.
D'après les chercheurs en sécurité, l'attaquant préparait son attaque depuis plusieurs mois. À partir de juin 2025, cet acteur inconnu a progressivement accumulé des jetons THE, pour finalement atteindre environ 84 % de la limite d'émission, soit 14,5 millions de jetons.
Au lieu d'utiliser le mécanisme de dépôt standard, le pirate a envoyé des jetons directement au protocole, contournant ainsi les contrôles habituels. Cela lui a permis de dépasser largement la limite autorisée. Son adresse s'est retrouvée avec 53,2 millions de THE, soit environ 3,5 fois le montant autorisé.
Le dimanche, jour de l'attaque, 12,2 millions de THE ont été déposés sur le protocole, soit environ 84 % de la limite fixée. Une heure et demie plus tard, juste avant la liquidation de la position, le volume a atteint 53,2 millions de jetons, soit environ 367 % de la limite.
Ayant accumulé d'importantes garanties, l'attaquant a profité de la faible liquidité du marché pour répéter plusieurs fois le même cycle de transactions. Il a d'abord déposé des jetons THE, puis emprunté d'autres actifs, acheté des jetons THE supplémentaires, attendu la mise à jour des données de l'oracle, et répété la transaction.
En conséquence, le prix du THE est passé de 0,27 $ à 0,53 $. La garantie nominale de la transaction s'élevait à environ 30 millions de dollars, mais il n'y avait pas de liquidités pour vendre ce montant. Après la liquidation forcée, le prix du jeton est tombé à 0,24 $.
Au plus fort de l'attaque, l'attaquant disposait de 6,67 millions de CAKE, 2801 BNB, 1970 WBNB, 1,58 million d'USDC et 20 BTCB.
Selon Weilin Li, analyste on-chain, la chute du prix du token ayant suivi, l'attaquant n'a probablement réalisé quasiment aucun profit et a même pu subir des pertes au sein du protocole. L'experte suppose que l'attaquant aurait pu couvrir sa position via des contrats à terme perpétuels sur des plateformes tierces et tirer profit de ces transactions.
Il y a quelques jours, un autre pirate a retiré plus de 4 millions de dollars d'une plateforme de jeux blockchain, mais a perdu la quasi-totalité de ces fonds en raison de transactions infructueuses sur Ethereum.