Aunque se ha convertido en un cajero automático para hackers, sigue en pie: el robo de Venus refleja las dificultades de las finanzas descentralizadas (DeFi)

Autor: Gu Yu, ChainCatcher

Los hackers son los enemigos acérrimos de cualquier protocolo DeFi. La gran mayoría de los protocolos DeFi se tambalean y entran en declive tras sufrir ataques que provocan pérdidas de millones de dólares. Sin embargo, como protocolo de préstamos insignia de BNB Chain y proyecto incubado por Binance, Venus Protocol es sin duda una rara excepción.

Venus fue desarrollado por el equipo de Swipe, que fue adquirido por Binance, y se lanzó al mes siguiente del lanzamiento de la red principal de BNB Chain en 2020. En poco tiempo se convirtió en el protocolo de préstamos más grande de la cadena BNB en cuanto a activos bloqueados y número de usuarios. Según RootData, el valor de capitalización actual (FDV) de los tokens Venus es de 94 millones de dólares, y el valor total bloqueado (TVL) es de 1.470 millones de dólares.

Recientemente, Venus ha vuelto a ser objeto de un ataque informático. Según el informe oficial del equipo, el atacante comenzó a acumular tokens THE mediante procesos normales de depósito a partir de junio de 2025, llegando a acumular unos 12,2 millones de THE, valorados en 2,4 millones de dólares.

El 15 de marzo, el atacante depositó directamente todos los tokens THE como garantía en el contrato de préstamo, aprovechando la liquidez extremadamente baja de THE en la cadena, junto con los retrasos del oráculo TWAP, para llevar a cabo una manipulación recursiva de los precios y obtener préstamos por valor de millones de dólares en BTC, BNB, CAKE y otros activos.

A medida que el precio de THE se desplomaba, lo que desencadenó una serie de liquidaciones, este incidente acabó provocando a Venus unas pérdidas por impagos de aproximadamente 2,15 millones de dólares. Si echamos la vista atrás a los últimos años, Venus ha sufrido ataques de piratas informáticos casi cada año, en particular ataques a Oracle, lo que ha provocado una deuda incobrable acumulada de más de 100 millones de dólares.

Incidente de manipulación de precios de Oracle en XVS

En mayo de 2021, un atacante aprovechó la relativa falta de liquidez de los tokens XVS en las plataformas de intercambio centralizadas (principalmente Binance) para hacer subir rápidamente el precio del XVS de unos 70 dólares a más de 140 dólares en un breve periodo de tiempo. A continuación, el atacante utilizó los XVS que tenía como garantía para pedir prestada una gran cantidad de activos de alta calidad (unos 2 000 BTC y 5 700 ETH) al protocolo Venus.

Posteriormente, el precio del XVS se desplomó, cayendo hasta un mínimo de 31 dólares, lo que provocó liquidaciones a gran escala. Dado que la liquidez del mercado no pudo soportar una venta masiva de liquidación de tal magnitud, el protocolo Venus acumuló más de 95 millones de dólares en deuda incobrable.

Tras este incidente, el protocolo anunció que el equipo de Swipe se retiraría de la gestión y que un nuevo consejo, compuesto por miembros de la comunidad, se haría cargo de la gobernanza del protocolo a partir de entonces, aunque este seguía conservando una fuerte influencia de Binance.

Incidente de la caída de LUNA

En mayo de 2022, durante la caída de LUNA que se produjo ese mes, el precio real de LUNA cayó rápidamente por debajo de 0,1 dólares en poco tiempo. Sin embargo, debido a que el oráculo de Chainlink dejó de publicar actualizaciones tras la caída del precio hasta un umbral específico (0,10 $), el protocolo Venus siguió aceptando LUNA como garantía al «precio elevado» erróneo de 0,1 $.

Tras descubrir esta vulnerabilidad, el atacante compró una gran cantidad de LUNA a bajo precio en el mercado secundario y la depositó en Venus, utilizando ese valor inflado como garantía para obtener otros activos en préstamo, lo que provocó una deuda incobrable de más de 11,2 millones de dólares para el protocolo.

Incidente con el oráculo de Binance

En diciembre de 2023, debido a que Venus utilizaba los datos de cotización de Binance Oracle en el fondo de préstamos aislado del activo de baja liquidez snBNB, el atacante compró snBNB en ese fondo de muy pequeño tamaño en PancakeSwap. Debido a la escasa liquidez, el precio del snBNB se disparó al instante hasta alcanzar un nivel absurdo.

A continuación, el atacante depositó 0,49 snBNB y tomó prestados casi todos los activos disponibles en el fondo común (incluidos WBNB, BNBx, ankrBNB, etc.), por un valor total aproximado de 274 000 dólares, que posteriormente se transfirieron a través de un puente entre cadenas. En última instancia, la dirección de Venus propuso utilizar fondos de la tesorería para cubrir íntegramente esta deuda incobrable.

Incidente de manipulación de precios de Oracle en el mercado wUSDM

En febrero de 2024, un atacante aprovechó una vulnerabilidad del protocolo ERC-4626, lo que provocó que el precio de la moneda estable wUSDM emitida por Mountain Protocol se disparara artificialmente hasta alcanzar los 1,7 dólares en poco tiempo. A continuación, el atacante depositó una pequeña cantidad de wUSDM en el protocolo Venus.

Dado que el oráculo leía el «precio falso inflado», el atacante utilizó estas garantías en wUSDM, cuyo valor estaba inflado, para tomar prestados otros activos de mayor valor del fondo común (como USDC, ETH, etc.). Cuando el precio del wUSDM volvió a su nivel normal de 1 dólar, el atacante ya había transferido los activos prestados y no los devolvió, lo que supuso una pérdida de aproximadamente 716 000 dólares para Venus tras la liquidación de la transacción.

Polémica sobre la gestión comunitaria

Además de los incidentes de ataque mencionados anteriormente, Venus también fue objeto de escrutinio externo debido a un incidente relacionado con la gobernanza ocurrido en septiembre de 2021. En aquel momento, un usuario de la comunidad de Venus presentó una propuesta titulada «Creación del equipo Bravo», con la intención de otorgar a dicho equipo las mismas capacidades de votación y recaudación de fondos que el equipo de gobernanza original.

Sin embargo, al parecer, el promotor indujo a votar prometiendo distribuir tokens. Según la descripción de la propuesta, de los 1,9 millones de tokens XVS propuestos para la financiación, el equipo de Bravo distribuiría 900 000 XVS (29 millones de dólares) entre las direcciones que votaran a favor. Finalmente, el 14 de septiembre a las 22:33, la propuesta se aprobó con 1,29 millones de votos a favor y 1,19 millones en contra.

Según los principios del sector, las propuestas de gobernanza en cadena deben ser ejecutadas por el equipo una vez que hayan sido aprobadas. Sin embargo, el equipo de Venus «anuló» la resolución con un solo clic, alegando que su objetivo era evitar que personas anónimas controlaran el protocolo mediante sobornos. Este es uno de los pocos casos en el sector de las finanzas descentralizadas (DeFi) en los que una propuesta o votación de gobernanza en cadena se aprobó, pero no se llevó a cabo.

Además, en septiembre de 2025 se produjo un incidente de seguridad en el protocolo Venus que provocó pérdidas para los usuarios por valor de más de 13 millones de dólares; sin embargo, esto se debió principalmente a que los piratas informáticos manipularon la interfaz informática de los usuarios, lo que les llevó a firmar una transacción de «delegación», y no a una vulnerabilidad del propio Venus.

Por qué Venus se convirtió en una «superviviente»

A la luz de estos incidentes de ataque, Venus puede considerarse una «superviviente» excepcional en el sector de las criptomonedas, y es posible que se haya convertido en el proyecto «con más experiencia» a la hora de hacer frente a los ataques de hackers. Esto se debe en gran medida al apoyo constante que Binance, como gigante del sector de las criptomonedas, brinda a Venus en términos de recursos y marca. A pesar de todos los incidentes de seguridad que se han producido, Binance sigue animando directamente a los usuarios de la plataforma a realizar depósitos en Venus a través de sus funciones financieras para obtener mayores rendimientos.

Estadísticas del TVL en cadena de Venus Fuente: DeFillama

Es bien sabido que Binance ostenta una autoridad absoluta en el ecosistema de BNB Chain. Como principal pilar de Binance en el ámbito de los préstamos, Venus siempre cuenta con una orientación ecológica y una capacidad de cobertura de riesgos de las que carecen la mayoría de los demás proyectos DeFi, aunque pueda haber una serie de riesgos de seguridad.

Desde el punto de vista del sector, estos casos también ponen de manifiesto las vulnerabilidades de las finanzas descentralizadas (DeFi). Ya se trate de retrasos en Oracle, activos con escasa liquidez, manipulación de precios o vulnerabilidades en los mecanismos de gobernanza, estos problemas han surgido repetidamente a lo largo de la historia de Venus y de muchos otros proyectos de DeFi.

En los sistemas DeFi altamente automatizados, siempre que exista un fallo de diseño en cualquiera de los eslabones, los atacantes suelen aprovechar las diferencias de precio, liquidez o tiempo para lanzar complejos ataques de arbitraje.

La capacidad de Venus para sobrevivir a múltiples crisis depende en gran medida de un sólido apoyo ecológico y de su capacidad para obtener compensaciones económicas. Sin embargo, para la gran mayoría de los proyectos de DeFi, un ataque que suponga pérdidas de decenas de millones de dólares suele ser suficiente para provocar el colapso total del protocolo.

La «excepción» de Venus no solo confirma la capacidad protectora de los principales ecosistemas para los proyectos, sino que también pone de relieve la fragilidad general del sistema de seguridad de las finanzas descentralizadas (DeFi): cuando la seguridad solo puede basarse en un «respaldo gigantesco» en lugar de en el control de riesgos y las garantías del propio protocolo, la verdadera seguridad de las finanzas descentralizadas aún tiene un largo camino por recorrer.