Hack do Venus Protocol causa perda de $3.7 milhões após manipulação do token THE na BNB Chain

Um novo exploit num dos principais mercados de empréstimos da BNB Chain reacendeu as preocupações sobre a gestão de riscos na DeFi, com o último ataque ao protocolo Venus novamente ligado a fraquezas nos oráculos e na liquidez.

Como a manipulação de preço do THE se desenrolou na Venus

No domingo, a Venus Protocol, a plataforma de empréstimos dominante na BNB Chain, foi alvo de um ataque sofisticado de manipulação de preço centrado no THE, o token nativo da Thena. O incidente, que visou um mercado de ativos específico, revelou fraquezas estruturais na integração de garantias e nas suposições de liquidez.

O atacante explorou uma liquidez on-chain escassa para elevar o preço do THE de cerca de $0,27 para quase $5. A sua estratégia baseou-se em depositar repetidamente o token como garantia, emprestar outros ativos, comprar mais THE com os fundos emprestados e repetir o ciclo. Além disso, o oráculo de preços da Venus continuou a acompanhar o valor de mercado artificialmente inflacionado durante esses ciclos.

Para contornar o limite de fornecimento de THE na Venus, o perpetrador utilizou uma técnica de ataque de doação. Em vez de usar a função padrão de depósito, transferiu tokens diretamente para o contrato inteligente vTHE. Este fluxo distorceu a taxa de câmbio interna do protocolo, neutralizando efetivamente as limitações de fornecimento pretendidas e permitindo a criação de garantias excessivas.

Com a garantia inflacionada, o explorador drenou múltiplos ativos do protocolo. Retirou 6,67 milhões de CAKE, 1,58 milhões de USDC, 2.801 BNB e 20 Bitcoin num curto período, convertendo a avaliação manipulada do THE em valor real através de vários tokens líquidos.

Estimativas de perdas, dívidas incobráveis e resposta de emergência

Os danos totais do ataque ultrapassam os $3,7 milhões, de acordo com relatórios do Wu Blockchain. No entanto, nem toda essa perda permanece como exposição aberta. O analista independente EmberCN estimou que aproximadamente $2,15 milhões continuam como dívida incobrável na Venus, composta por cerca de 1,18 milhões de CAKE e 1,84 milhões de THE que já não estão adequadamente garantidos.

O endereço de carteira por trás da operação foi inicialmente financiado com 7.400 ETH via Tornado Cash, o mixer de criptomoedas focado em privacidade. No entanto, o uso de tais ferramentas é comum em exploits complexos e torna a atribuição e os esforços de recuperação mais difíceis para investigadores e protocolos afetados.

Em resposta, a Venus Protocol anunciou na X que detectou “atividade incomum” no pool de liquidez do THE. A equipa rapidamente congelou todas as funções de empréstimo e retirada relacionadas com o THE, enquadrando a decisão como uma medida de segurança de emergência enquanto uma revisão de segurança interna e externa é conduzida.

As trocas do atacante e o potencial prejuízo líquido

O processo de exploração não ocorreu exatamente como o atacante provavelmente planeou. Após o primeiro ciclo de empréstimo, o oráculo de preço ponderado pelo tempo da Venus ajustou a avaliação do THE para cerca de $0,50, muito abaixo do quase $5 observado no comércio à vista. Isso reduziu o valor efetivo da garantia dentro do protocolo.

No entanto, o atacante continuou a adquirir THE usando capital emprestado, tentando manter o preço elevado e maximizar a capacidade de empréstimo. Contudo, a pressão de venda sustentada sobrecarregou o livro de ordens superficial. O fator de saúde da conta aproximou-se de 1, acionando liquidações e forçando a venda de garantias num mercado em rápida queda.

A reversão aconteceu num mercado com quase nenhuma profundidade. O THE caiu para cerca de $0,24, ainda mais baixo do que o preço pré-ataque, perto de $0,27. O pesquisador de segurança on-chain Weilin Li, que primeiro alertou publicamente sobre o incidente, argumentou que o atacante provavelmente obteve apenas lucros limitados na cadeia e pode, na verdade, ter registado uma perda líquida.

Até o momento da publicação, o THE negociava perto de $0,2255, uma queda de mais de 17% nas últimas 24 horas. Além disso, a reversão acentuada reforça como a extrema volatilidade de ativos ilíquidos pode inverter a economia de uma manipulação inicialmente lucrativa.

Um padrão de incidentes de dívidas incobráveis na Venus

Este último incidente na Venus Protocol soma-se a uma história de perdas relacionadas a manipulação de mercado e design de garantias. Em 2021, um esquema envolvendo o token nativo XVS gerou mais de $95 milhões em dívidas incobráveis, deixando o protocolo e a sua comunidade com um buraco significativo a resolver.

Depois, durante o colapso do Terra/LUNA em 2022, a Venus absorveu aproximadamente $14 milhões em exposição não garantida. No entanto, essas perdas foram causadas por uma falha sistêmica do mercado, e não por exploração direta, destacando uma dimensão diferente, mas relacionada, de risco em plataformas de empréstimo multi-ativo.

Mais recentemente, em fevereiro de 2025, um exploit semelhante baseado em doações atingiu a implementação da Venus na ZKSync. Os atacantes usaram mecânicas quase idênticas ao incidente de domingo para criar mais de $700.000 em dívidas incobráveis. A repetição desse padrão em diferentes ambientes aumentou o escrutínio sobre como o protocolo lida com a integração de garantias e comportamentos de limite extremo.

Riscos de design baseados em Compound e avisos ignorados

A vulnerabilidade central usada aqui não é exclusiva do Venus Protocol. O exploit no estilo de doação representa uma fraqueza de design conhecida em sistemas de empréstimo derivados do Compound, onde transferências diretas de tokens para mercados que pagam juros podem distorcer a contabilidade que sustenta a avaliação de garantias e a lógica do limite de fornecimento.

Importa notar que a revisão de segurança Code4rena do Venus já tinha sinalizado esse tipo de risco. No entanto, a equipa de desenvolvimento, na altura, questionou a gravidade da descoberta, optando por não implementar uma mitigação completa. A recorrência de um ataque quase idêntico agora coloca essa decisão sob críticas renovadas de investigadores de segurança e utilizadores.

Para os mercados DeFi na BNB Chain e além, o último hack no Venus reforça como questões teóricas conhecidas podem resultar em perdas reais se não forem resolvidas. No futuro, controles mais rigorosos sobre a liquidez de garantias, fontes de oráculos e transferências no estilo de doação serão provavelmente essenciais para restaurar a confiança.

Resumindo, o ataque ao Venus envolvendo THE, manipulação de preço combinada, dependência de oráculos e uma via de doação para gerar mais de $3,7 milhões em danos, expôs novamente riscos estruturais de longa data em protocolos de empréstimo baseados em Compound.