#AtaqueSospechosoPorFlashLoanEnVenusProtocol

El ecosistema DeFi fue sacudido el 15 de marzo de 2026, cuando Venus Protocol, una plataforma de préstamos líder en BNB Chain, fue víctima de un ataque sofisticado, resultando en la pérdida de más de $3,7 millones en activos digitales. Esto no fue un simple hack sino una operación compleja de varios meses que explotó mecanismos de baja liquidez y de oráculo.

Aquí hay un desglose completo de lo que sucedió, cómo fue ejecutado y sus consecuencias.

📅 El Objetivo: Venus Protocol

Venus es un protocolo de préstamos descentralizado donde los usuarios pueden suministrar garantía para pedir prestados otros activos. El atacante apuntó a su Core Pool usando Thena (THE), un token con liquidez relativamente baja.

🕵️ Paso a Paso: Anatomía del Exploit

El ataque combinó una estrategia de acumulación a largo plazo con manipulación de precios a corto plazo usando un flash loan.

Fase 1: El Juego Largo (Junio 2025 - Marzo 2026)
El atacante jugó el juego largo. Comenzando en junio de 2025, acumuló lentamente tokens THE a través de canales normales. Durante nueve meses, acumularon aproximadamente el 84% del límite de suministro de THE del protocolo (alrededor de 14,5 millones de tokens).

Fase 2: El Exploit (15 de marzo de 2026)
Aquí es donde entra en juego el elemento de "sospecha de flash loan".

1. Bypass del Límite de Suministro: En lugar de depositar normalmente, el atacante transfirió las enormes tenencias de THE directamente al contrato del protocolo, evitando los límites de suministro estándar. Esto creó una posición de garantía de 53,2 millones de THE, casi 3,7 veces el límite permitido.
2. Manipulación de Precios: Con esta garantía artificialmente inflada en su lugar, el atacante se involucró en un bucle recursivo:
· Depositó THE.
· Pidió prestados otros activos contra el valor inflado de THE.
· Utilizó los activos prestados para comprar más THE en intercambios descentralizados (DEXs), impulsando su precio al alza.
· Esperó a que el oráculo TWAP (Precio Promedio Ponderado por Tiempo) se actualizara, reflejando este nuevo precio más alto.
· Este ciclo empujó el precio de THE de $0,263 a casi $0,563, inflando aún más el valor de la garantía.
3. Drenando los Activos: Con el valor de la garantía artificialmente muy alto, el atacante pidió prestados activos significativos del pool de Venus, incluyendo:
· ~20 BTCB (Bitcoin Envuelto)
· ~1,5 millones de tokens CAKE
· ~200 BNB
· ~1,58 millones de USDC
4. La Salida: Una vez drenados los activos, el atacante descargó las tenencias restantes de THE, desplomando su precio a la realidad (alrededor de $0,22). Esto dejó a Venus con una pila de garantía THE ahora sin valor y una **deuda incobrable de aproximadamente $2,15 millones.

⚡️ ¿Cuál es el Papel de un Flash Loan?

Aunque se llama un "ataque sospechoso de flash loan", es crucial entender el mecanismo. Un flash loan permite a un usuario pedir prestados fondos masivos sin garantía inicial, siempre que el dinero se devuelva dentro del mismo bloque de blockchain.

· ¿Se utilizó para iniciar el ataque? La acumulación inicial sugiere una posición a largo plazo.
· ¿Se utilizó para amplificar el ataque? Sí. La compra recursiva de THE para manipular el precio probablemente fue financiada por flash loans, permitiendo al atacante controlar el mercado sin riesgo de capital inicial.

📉 Las Consecuencias Inmediatas

· Caos en el Mercado: El precio de THE se desplomó más del 17% en 24 horas, desencadenando liquidaciones masivas. El volumen de operaciones de THE se disparó más del 5500% a medida que el mercado reaccionaba.
· Respuesta del Protocolo: Venus actuó rápidamente para prevenir daños adicionales:
· Pausó todos los $THE préstamos y retiros(.
· Redujo el Factor de Garantía )CF( a cero para siete mercados de alto riesgo )BCH, LTC, UNI, AAVE, FIL, TWT, y lisUSD#DeFi donde un único usuario tenía una participación desproporcionada de la garantía.
· Confirmó que todos los demás mercados permanecen sin afectar y operacionales.

🔒 Conclusiones Clave para DeFi

Este incidente destaca vulnerabilidades persistentes en DeFi:

1. Baja Liquidez = Alto Riesgo: Los tokens con baja liquidez son objetivos principales para la manipulación de precios.
2. Retraso del Oráculo: La dependencia de oráculos TWAP estándar puede ser explotada si no se actualizan lo suficientemente rápido para reflejar manipulación en tiempo real.
3. La Estafa Larga: No todos los ataques ocurren en un bloque; este combinó un año de preparación con una transacción final explosiva.

Venus ha declarado que lanzará un informe completo una vez que la investigación esté completa. Por ahora, esto sirve como otro recordatorio crudo de los riesgos dentro de sistemas financieros sin permisos.

#VenusProtocol #CryptoNews #BNBChain