Obwohl Venus nur noch als Geldautomat für Hacker dient, steht sie immer noch stolz da – der Diebstahl spiegelt die Unbeholfenheit von DeFi wider.

Autor: Gu Yu, ChainCatcher

Hacker sind die Todfeinde jedes DeFi-Protokolls. Die überwiegende Mehrheit der DeFi-Protokolle scheitert und geht nach Angriffen, die zu Verlusten in Millionenhöhe führen, unter Druck. Als Flaggschiff-Kreditprotokoll der BNB Chain und als von Binance gefördertes Projekt stellt das Venus Protocol jedoch eindeutig eine seltene Ausnahme dar.

Venus wurde vom Swipe-Team entwickelt, das von Binance übernommen wurde, und wurde im Monat nach dem Mainnet-Start der BNB Chain im Jahr 2020 eingeführt. Es entwickelte sich schnell zum größten Kreditprotokoll auf der BNB Chain, sowohl was die Anzahl der gesperrten Vermögenswerte als auch die Anzahl der Nutzer betrifft. Laut RootData beträgt der aktuelle FDV der Venus-Token 94 Millionen US-Dollar und der TVL 1,47 Milliarden US-Dollar.

Kürzlich wurde Venus erneut Ziel eines Hackerangriffs. Nach Einschätzung des offiziellen Teams begann der Angreifer ab Juni 2025 durch normale Einzahlungsprozesse THE-Token anzuhäufen und besaß schließlich etwa 12,2 Millionen THE im Wert von 2,4 Millionen US-Dollar.

Am 15. März hinterlegte der Angreifer alle THE-Token direkt als Sicherheit in dem Kreditvertrag und nutzte die extrem niedrige On-Chain-Liquidität von THE in Verbindung mit Verzögerungen des TWAP-Orakels, um eine rekursive Preismanipulation durchzuführen und BTC, BNB, CAKE und andere Vermögenswerte im Wert von Millionen von Dollar zu leihen.

Da der Preis von THE einbrach und eine Reihe von Liquidationen auslöste, führte dieser Vorfall letztendlich zu uneinbringlichen Forderungen in Höhe von etwa 2,15 Millionen US-Dollar für Venus. Wenn man auf die Geschichte der letzten Jahre zurückblickt, war Venus fast jedes Jahr mit Hackerangriffen, insbesondere Oracle-Angriffen, konfrontiert, was zu einem kumulierten Forderungsausfall von über 100 Millionen Dollar führte.

XVS Oracle-Preismanipulationsvorfall

Im Mai 2021 nutzte ein Angreifer die relative mangelnde Liquidität der XVS-Token an zentralisierten Börsen (hauptsächlich Binance) aus, um den Preis von XVS innerhalb kurzer Zeit von rund 70 US-Dollar auf über 140 US-Dollar zu treiben. Der Angreifer nutzte dann die als Sicherheit hinterlegten XVS, um sich eine große Menge hochwertiger Vermögenswerte (etwa 2.000 BTC und 5.700 ETH) vom Venus-Protokoll zu leihen.

In der Folge stürzte der Preis von XVS ab und fiel auf ein Tief von 31 Dollar, was zu groß angelegten Liquidationen führte. Da die Marktliquidität einen derart massiven Liquidationsverkauf nicht verkraften konnte, entstanden dem Venus-Protokoll Forderungsausfälle in Höhe von über 95 Millionen US-Dollar.

Nach diesem Vorfall kündigte das Protokoll an, dass sich das Swipe-Team aus der Verwaltung zurückziehen und ein neuer Rat, bestehend aus Mitgliedern der Community, die weitere Leitung des Protokolls übernehmen würde, wobei es jedoch weiterhin einen starken Binance-Hintergrund behielt.

LUNA-Absturz

Im Mai 2022, während des LUNA-Crashs in diesem Monat, fiel der reale Preis von LUNA innerhalb kurzer Zeit rapide unter 0,1 US-Dollar. Da das Chainlink-Orakel jedoch die Aktualisierung einstellte, nachdem der Preis auf eine bestimmte Schwelle (0,10 $) gefallen war, akzeptierte das Venus-Protokoll weiterhin LUNA-Sicherheiten zum irrtümlichen „hohen Preis“ von 0,1 $.

Nachdem der Angreifer diese Schwachstelle entdeckt hatte, kaufte er eine große Menge LUNA zu einem niedrigen Preis auf dem Sekundärmarkt und hinterlegte sie bei Venus. Er nutzte den aufgeblähten Wert als Sicherheit, um andere Vermögenswerte zu leihen, was zu uneinbringlichen Forderungen von über 11,2 Millionen Dollar für das Protokoll führte.

Binance-Oracle-Vorfall

Im Dezember 2023 nutzte Venus die Preisdaten des Binance Oracle im isolierten Kreditpool des wenig liquiden Vermögenswerts snBNB, um snBNB in ​​diesem sehr kleinen Pool auf PancakeSwap zu kaufen. Aufgrund der extrem geringen Markttiefe stieg der Preis für snBNB sofort auf ein absurdes Niveau.

Der Angreifer zahlte dann 0,49 snBNB ein und lieh sich fast alle verfügbaren Vermögenswerte im Pool (einschließlich WBNB, BNBx, ankrBNB usw.) im Wert von insgesamt etwa 274.000 US-Dollar, die später durch eine Cross-Chain-Bridge verloren gingen. Letztendlich schlug die Venus-Führung vor, die faulen Kredite vollständig aus Staatsmitteln zu decken.

wUSDM Oracle-Kursmanipulationsvorfall

Im Februar 2024 nutzte ein Angreifer eine Schwachstelle im ERC-4626-Protokoll aus und verursachte so einen künstlichen Preisanstieg des von Mountain Protocol herausgegebenen Stablecoins wUSDM auf 1,7 US-Dollar innerhalb kurzer Zeit. Der Angreifer zahlte anschließend eine kleine Menge wUSDM in das Venus-Protokoll ein.

Da das Orakel den manipulierten „falsch hohen Preis“ las, nutzte der Angreifer diese überbewerteten wUSDM-Sicherheiten, um andere höherwertige Vermögenswerte im Pool (wie USDC, ETH usw.) zu leihen. Da der Preis von wUSDM wieder auf den normalen Wert von 1 US-Dollar zurückfiel, hatte der Angreifer die geliehenen Vermögenswerte bereits transferiert und nicht zurückgegeben, was nach der Liquidation der Transaktion zu uneinbringlichen Forderungen in Höhe von etwa 716.000 US-Dollar für Venus führte.

Kontroverse um kommunale Selbstverwaltung

Zusätzlich zu den oben genannten Angriffen geriet Venus im September 2021 aufgrund eines Governance-Vorfalls auch in die Kritik von außen. Zu dieser Zeit unterbreitete ein Nutzer der Venus-Community einen Vorschlag mit dem Titel „Bildung des Bravo-Teams“, mit dem Ziel, einem Team die gleichen Abstimmungs- und Spendenbefugnisse wie dem ursprünglichen Führungsteam zu verleihen.

Der Initiator soll jedoch Stimmen durch das Versprechen, Token zu verteilen, erpresst haben. Laut der Beschreibung des Vorschlags würde das Bravo-Team von den vorgeschlagenen 1,9 Millionen XVS-Token 900.000 XVS (29 Millionen US-Dollar) an Adressen verteilen, die dafür gestimmt haben. Letztendlich wurde der Vorschlag am 14. September um 22:33 Uhr mit 1,29 Millionen Ja-Stimmen und 1,19 Millionen Nein-Stimmen angenommen.

Gemäß den Branchenprinzipien sollten On-Chain-Governance-Vorschläge vom Team umgesetzt werden, sobald sie durch Abstimmung beschlossen wurden. Das Venus-Team hat die Resolution jedoch mit einem Klick „aufgehoben“ und erklärt, dass sie darauf abzielte, zu verhindern, dass anonyme Personen das Protokoll durch Bestechung kontrollieren. Dies ist einer der seltenen Fälle in der DeFi-Branche, in denen ein On-Chain-Governance-Vorschlag oder eine Abstimmung zwar angenommen, aber nicht umgesetzt wurde.

Darüber hinaus kam es im September 2025 zu einem Sicherheitsvorfall im Venus-Protokoll, der zu Benutzerverlusten von über 13 Millionen Dollar führte. Dies lag jedoch hauptsächlich daran, dass die Benutzeroberfläche des Benutzercomputers von Hackern manipuliert wurde, wodurch die Benutzer eine „Delegaten“-Transaktion unterzeichneten, und nicht an einer Schwachstelle in Venus selbst.

Warum Venus zu einer „Überlebenden“ wurde

Angesichts dieser Angriffe kann Venus als einer der wenigen „Überlebenden“ im Kryptobereich betrachtet werden und ist möglicherweise zum „erfahrensten“ Projekt im Umgang mit Hackerangriffen geworden. Dies ist größtenteils auf die kontinuierliche Unterstützung von Venus als Kryptogigant durch Binance in Form von Ressourcen und Markenpräsenz zurückzuführen. Selbst nach so vielen Sicherheitsvorfällen rät Binance den Nutzern der Börse weiterhin direkt dazu, über Finanzfunktionen Einzahlungen bei Venus vorzunehmen, um höhere Renditen zu erzielen.

Venus On-Chain TVL-Statistiken Quelle: DeFillama

Es ist allgemein bekannt, dass Binance im BNB Chain-Ökosystem die absolute Autorität besitzt. Als wichtigstes Unterstützungsobjekt für Binance im Bereich der Kreditvergabe genießt Venus stets ökologische Tilt- und Risikodeckungsfähigkeiten, die die meisten anderen DeFi-Projekte nicht haben, selbst wenn eine Reihe von Sicherheitsrisiken bestehen.

Aus Branchensicht werden in diesen Fällen auch die Schwachstellen von DeFi deutlich. Ob es sich um Verzögerungen bei Oracles, Vermögenswerte mit geringer Liquidität, Preismanipulationen oder Schwachstellen in Governance-Mechanismen handelt – diese Probleme sind in der Geschichte von Venus und vielen anderen DeFi-Projekten immer wieder aufgetreten.

In hochautomatisierten DeFi-Systemen können Angreifer, sobald ein Konstruktionsfehler in einem einzigen Glied vorliegt, Preis-, Liquiditäts- oder Zeitunterschiede ausnutzen, um komplexe Arbitrageangriffe durchzuführen.

Die Fähigkeit der Venus, mehrere Krisen zu überstehen, hängt maßgeblich von einer starken ökologischen Unterstützung und finanziellen Ausgleichsmöglichkeiten ab. Bei der überwiegenden Mehrheit der DeFi-Projekte reicht jedoch ein Angriff in Höhe von mehreren zehn Millionen Dollar oft aus, um das gesamte Protokoll zum Erliegen zu bringen.

Venus' „Ausnahmefall“ bestätigt nicht nur die Schutzfunktion führender Ökosysteme für Projekte, sondern verdeutlicht auch die allgemeine Fragilität des DeFi-Sicherheitssystems – wenn die Sicherheit nur auf „riesige Unterstützung“ anstatt auf die eigenen Risikokontrollmechanismen des Protokolls angewiesen ist, hat die wahre Sicherheit von DeFi noch einen langen Weg vor sich.