📝 Aperçu de l'incident : Attaque par Flash Loan sur Venus Protocol

Le 14 mars 2026, la plateforme de prêt Venus Protocol sur BNB Chain a été victime d'une attaque par flash loan sophistiquée, entraînant la perte de plus de 3,7 millions de dollars en diverses crypto-monnaies. L'attaque a spécifiquement ciblé l'intégration de la plateforme avec le token de faible liquidité THENA (THE), ce qui a provoqué l'effondrement de son prix de plus de 17% en 24 heures.

L'attaquant, identifié par l'adresse 0x1a35…6231, a réussi à s'approprier environ 20 BTCB (Bitcoin BEP2), 1,5 million de tokens CAKE et 200 BNB.

🕵️ Comment l'attaque a été exécutée

Ce n'était pas un simple hack en une étape. C'était un exploit méticuleusement planifié qui combinait une stratégie d'accumulation à long terme avec une manipulation de prix complexe à court terme utilisant des flash loans. L'attaque peut être décomposée en deux phases principales :

1. Le jeu long : Accumulation de THE (Juin 2025 - Mars 2026)
· Pendant neuf mois précédant l'attaque, l'exploiteur a lentement et discrètement accumulé une position massive en tokens THE. Il a acquis environ 84% de la limite d'approvisionnement de THE sur Venus, ce qui représentait environ 14,5 millions de tokens.
· Cette accumulation à long terme a préparé le terrain pour l'exploit principal en s'assurant qu'il disposait d'une large base du token cible.
2. Le jeu court : Flash Loan et manipulation d'oracle
· Le Flash Loan : L'attaquant a contracté un massive flash loan (un prêt non garanti qui doit être remboursé dans la même transaction blockchain) d'une stablecoin comme USDC.
· Gonflement du prix de THE : Il a utilisé ces fonds empruntés pour acheter une énorme quantité de THE sur un échange décentralisé comme PancakeSwap. Parce que THE avait une faible liquidité, cette frénésie d'achat a artificiellement gonflé son prix d'environ 0,263 $ à près de 0,563 $.
· Exploitation de l'oracle : Venus Protocol s'appuyait sur un oracle TWAP (Time-Weighted Average Price) pour déterminer les prix des actifs. L'achat massif de l'attaquant a manipulé le prix du marché, et lorsque l'oracle s'est mis à jour, il a reflété ce prix artificiellement élevé.
· Dépôt de garantie gonflée : L'attaquant a ensuite contourné les limites de dépôt normales en transférant directement les tokens THE au contrat du protocole, créant une position de garantie de 53,2 millions de THE—près de 3,7 fois la limite autorisée.
· Emprunt d'actifs réels : Avec sa garantie évaluée au prix gonflé alimenté par l'oracle, l'attaquant a emprunté des montants importants d'actifs réels de haute valeur à Venus : BTCB, CAKE et BNB.
· Remboursement et bénéfice : Enfin, il a vendu une partie des THE restants pour récupérer des fonds, a remboursé le flash loan et s'est enfui avec les actifs empruntés comme profit pur. Une fois la pression d'achat artificielle disparue, le prix de THE s'est effondré à environ 0,22 $, laissant Venus avec une garantie sans valeur.

⚠️ Conséquences immédiates et réponse du protocole

Venus Protocol a agi rapidement pour limiter les dégâts et prévenir d'autres exploits :

· Marchés suspendus : Ils ont immédiatement suspendu tous les emprunts et retraits pour THE, ainsi que pour plusieurs autres marchés présentant une concentration élevée de liquidités (BCH, LTC, UNI, AAVE, FIL et TWT).
· Réduction du risque : Le Collateral Factor (CF) pour ces six marchés, plus lisUSD, a été réduit à zéro. Cette mesure cible les marchés où un seul utilisateur détient une part disproportionnée de la garantie fournie, les empêchant d'être utilisés pour des emprunts ultérieurs.
· Enquête en cours : L'équipe a déclaré que tous les autres marchés restent opérationnels et non affectés. Ils se sont engagés à publier un rapport post-mortem détaillé une fois leur enquête terminée.

Cet incident s'ajoute à l'historique des défis de sécurité de Venus Protocol, y compris un événement de dette défaillante de $95 millions en 2021 et les pertes liées à l'effondrement de Terra/LUNA et au hack du pont BNB Chain en 2022.

J'espère que cette analyse détaillée sera utile. Souhaiteriez-vous que je vous explique comment fonctionnent les flash loans plus en détail, ou que je vous fournisse une mise à jour sur l'action des prix de THENA suite à cet événement?