Protocole Venus Gèle Sept Marchés Suite à un Exploit de 3.7M$ Via le Token THE à Faible Liquidité de THENA

Venus Protocol, le plus grand marché de prêt sur BNB Chain, a subi une exploitation de 3,7 millions de dollars le 15 mars 2026, après qu’un attaquant a manipulé le prix du jeton THE à faible liquidité de THENA via une attaque de « plafond d’approvisionnement » sur neuf mois.

L’incident, qui a laissé le protocole avec une dette douteuse estimée à 2,15 millions de dollars, a poussé Venus à réduire les facteurs de collatéral à zéro sur sept marchés supplémentaires par précaution contre le risque de concentration.

L’attaquant, financé avec 7 400 ETH provenant du mixeur de crypto Tornado Cash, a exploité la faible liquidité de THE sur Venus pour faire monter son prix de 0,27 $ à près de 5 $, avant qu’une liquidation ne fasse retomber le prix à 0,24 $.

Méthodologie de l’attaque : accumulation sur neuf mois et manipulation de l’oracle

Les chercheurs en sécurité et le gestionnaire de risque de Venus, Allez Labs, ont détaillé le mécanisme sophistiqué derrière l’exploitation, qui a contourné les mesures de sécurité du protocole par une stratégie en plusieurs phases.

La phase d’accumulation « lente et faible »

À partir de juin 2025, l’attaquant a progressivement accumulé des jetons THE via des canaux de dépôt normaux sur environ neuf mois. Cette stratégie lui a permis de rassembler 84 % du plafond d’approvisionnement — environ 12,2 millions de THE — sans déclencher d’alertes de risque standard.

Contournement du plafond d’approvisionnement par transfert direct

Le 15 mars, l’attaquant a réalisé l’exploitation en transférant directement des jetons THE au contrat vTHE au lieu de déposer via le processus de minting standard. Cette technique de « donation » — une vulnérabilité connue dans les protocoles dérivés de Compound — a instantanément gonflé l’approvisionnement reconnu à 3,67 fois le plafond, créant une base de collatéral massive.

Manipulation récursive du prix

Avec une position de collatéral surdimensionnée, l’attaquant a exploité la faible liquidité on-chain de THE combinée aux retards de l’oracle TWAP (Time-Weighted Average Price). Il a lancé une boucle récursive :

• Déposer un collatéral THE gonflé

• Emprunter d’autres actifs (dont BTCB, CAKE, et BNB)

• Utiliser les fonds empruntés pour acheter plus de THE on-chain

• Attendre la mise à jour de l’oracle TWAP pour refléter les prix manipulés plus élevés

L’attaquant a réussi à emprunter environ 6,67 millions de CAKE, 2 801 BNB, 1,58 million de USDC et 20 BTCB avant que les mécanismes de liquidation ne soient déclenchés.

Mitigation d’urgence : gel du collatéral sur sept marchés

En réponse à l’exploitation et pour contenir le risque systémique potentiel, Venus Protocol a mis en œuvre des modifications d’urgence des paramètres ciblant les marchés à forte concentration de collatéral.

Marchés affectés par le gel préventif

Venus a réduit le facteur de collatéral (CF) à zéro sur sept marchés identifiés comme vulnérables en raison d’une concentration de collatéral par utilisateur dépassant 60 % :

Marché

Action prise

Raison

BCH, LTC, UNI, AAVE, FIL, TWT, lisUSD

Facteur de Collatéral réduit à 0

Risque de concentration élevé ; un seul utilisateur détenait une proportion excessive de collatéral

Tous les autres marchés de Venus restent opérationnels et non affectés par ces mesures préventives.

Critères de vulnérabilité du marché

Le gel a ciblé les marchés caractérisés par :

• Capitalisation boursière inférieure à 2 milliards de dollars

• Volume de trading quotidien inférieur à 100 millions de dollars

• TVL (Total Value Locked) sur DEX inférieur à 40 millions de dollars

• Concentration de collatéral par utilisateur supérieure à 60 %

Impact de l’incident et contexte du protocole

L’exploitation s’ajoute à une histoire de défis en matière de sécurité pour Venus Protocol, qui a accumulé des dettes douteuses depuis 2021.

Accumulation historique de dettes douteuses

• Manipulation XVS 2021 : plus de 95 millions de dollars de dettes douteuses suite à la manipulation du prix du jeton XVS de Venus

• Effondrement Terra/LUNA 2022 : 14 millions de dollars de dettes

• Hack du pont BNB Chain 2022 : BNB volés utilisés pour emprunter 150 millions de dollars en stablecoins

• Attaque par donation février 2025 : 700 000 dollars de dettes douteuses sur le déploiement ZKSync de Venus via des mécanismes identiques

La valeur totale verrouillée (TVL) du protocole a diminué, passant d’un pic de 7 milliards de dollars à environ 1,47 milliard de dollars après ces incidents.

THENA a confirmé que ses contrats intelligents n’ont pas été compromis lors de l’attaque et que les fonds des utilisateurs sur sa plateforme restent sécurisés.

Enquête en cours et rapport futur

Venus Protocol a affirmé son engagement envers la transparence, en confirmant qu’un rapport d’analyse complet sera publié une fois l’enquête terminée.

Allez Labs, partenaire en gestion des risques de Venus, continue d’analyser la voie d’attaque et a partagé des premières conclusions détaillant le processus d’exploitation en quatre étapes.

Questions fréquemment posées

Qu’est-ce qu’une « attaque de plafond d’approvisionnement » en DeFi lending ?

Une attaque de plafond d’approvisionnement contourne le mécanisme de sécurité d’un protocole qui limite la quantité maximale d’un seul actif pouvant être utilisé comme collatéral. Dans cet incident, l’attaquant a contourné le plafond d’approvisionnement de Venus en transférant directement les jetons THE au contrat du protocole plutôt qu’en déposant via les canaux standards. Cela lui a permis de créer une position de collatéral 3,67 fois plus grande que la limite prévue, utilisée ensuite pour emprunter des actifs excessifs après manipulation de l’oracle de prix.

Quels actifs ont été volés lors de l’exploitation de Venus Protocol ?

L’attaquant a emprunté environ 5,07 millions de dollars d’actifs en utilisant le collatéral THE gonflé. Cela comprenait 2 172 BNB, 1,516 million de CAKE, et 20 BTCB. Cependant, les processus de liquidation on-chain ont laissé le protocole avec une dette douteuse estimée à 2,15 millions de dollars, comprenant environ 1,18 million de CAKE et 1,84 million de THE non remboursés.

Comment Venus Protocol a-t-il réagi à l’exploitation ?

Venus Protocol a pris des mesures d’urgence immédiates en suspendant tous les emprunts et retraits de jetons THE. En tant que mesure préventive plus large contre le risque de concentration, le protocole a réduit les facteurs de collatéral à zéro sur sept marchés supplémentaires : Bitcoin Cash (BCH), Litecoin (LTC), Uniswap (UNI), Aave (AAVE), Filecoin (FIL), Trust Wallet Token (TWT), et lisUSD. Tous les autres marchés continuent leur fonctionnement normal.