Réduit à un guichet automatique de hacker tout en restant debout, le vol de Venus reflète l'embarras de DeFi

Auteur : Gu Yu, ChainCatcher

Les hackers sont les ennemis mortels de tout protocole DeFi. La grande majorité des protocoles DeFi faiblissent et déclinent après avoir subi des attaques entraînant des pertes de millions de dollars. Cependant, en tant que protocole de prêt phare de la chaîne BNB et projet incubé par Binance, Venus Protocol est clairement une rare exception.

Venus a été développé par l'équipe de Swipe, qui a été acquise par Binance, et a été lancé le mois suivant le lancement du mainnet de la chaîne BNB en 2020. Il est rapidement devenu le plus grand protocole de prêt sur la chaîne BNB en termes d'actifs verrouillés et d'échelle d'utilisateurs. Selon RootData, la FDV actuelle des tokens Venus est de 94 millions de dollars, et le TVL est de 1,47 milliard de dollars.

Récemment, Venus est redevenue une cible d'attaque de hacker. Selon l'examen de l'équipe officielle, l'attaquant a commencé à accumuler des tokens THE par des processus de dépôt normaux à partir de juin 2025, détenant finalement environ 12,2 millions de THE, d'une valeur de 2,4 millions de dollars.

Le 15 mars, l'attaquant a directement déposé tous les tokens THE en tant que garantie dans le contrat de prêt, tirant parti de la liquidité extrêmement faible en chaîne de THE combinée aux retards d'oracle TWAP pour effectuer une manipulation de prix récursive, empruntant des millions de dollars en BTC, BNB, CAKE et d'autres actifs.

Alors que le prix de THE s'effondrait, déclenchant une chaîne de liquidations, cet incident a finalement entraîné environ 2,15 millions de dollars de créances douteuses pour Venus. En regardant l'histoire des dernières années, Venus a subi des attaques de hackers presque chaque année, en particulier des attaques d'oracle, entraînant une créance douteuse cumulative de plus de 100 millions de dollars.

Incident de manipulation de prix Oracle XVS

En mai 2021, un attaquant a exploité le manque relatif de liquidité des tokens XVS sur les échanges centralisés (principalement Binance) pour faire rapidement grimper le prix de XVS d'environ 70 $ à plus de 140 $ en peu de temps. L'attaquant a ensuite utilisé les XVS qu'il détenait comme garantie pour emprunter une grande quantité d'actifs de haute qualité (environ 2 000 BTC et 5 700 ETH) auprès du protocole Venus.

Par la suite, le prix de XVS a chuté, tombant à un bas de 31 $, déclenchant des liquidations à grande échelle. En raison de la liquidité du marché ne pouvant pas soutenir une telle vente à découvert massive, le protocole Venus a subi plus de 95 millions de dollars de créances douteuses.

Après cet incident, le protocole a annoncé que l'équipe Swipe se retirerait de la gestion, et un nouveau conseil composé de membres de la communauté prendrait en charge la gouvernance subséquente du protocole, mais il conservait toujours un fort lien avec Binance.

LUNA Incident de Crash

En mai 2022, lors de l'incident de crash de LUNA de ce mois-là, le prix réel de LUNA a rapidement chuté en dessous de 0,1 $ en peu de temps. Cependant, en raison de l'arrêt des mises à jour de l'oracle Chainlink après que le prix soit tombé en dessous d'un seuil spécifique (0,10 $), le protocole Venus a continué à accepter des garanties LUNA à un "prix élevé" erroné de 0,1 $.

Après avoir découvert cette vulnérabilité, l'attaquant a acheté une grande quantité de LUNA à bas prix sur le marché secondaire et l'a déposée dans Venus, utilisant la valeur gonflée comme garantie pour emprunter d'autres actifs, entraînant plus de 11,2 millions de dollars de créances douteuses pour le protocole.

Incident de l'Oracle Binance

En décembre 2023, en raison de l'utilisation par Venus des données de prix de l'Oracle Binance dans le pool de prêt isolé de l'actif à faible liquidité snBNB, l'attaquant a acheté du snBNB dans ce très petit pool sur PancakeSwap. En raison de la profondeur extrêmement faible, le prix du snBNB a été instantanément propulsé à un niveau absurde.

L'attaquant a ensuite déposé 0,49 snBNB et a emprunté presque tous les actifs disponibles dans le pool (y compris WBNB, BNBx, ankrBNB, etc.), totalisant environ 274 000 $, qui ont ensuite été blanchis par le biais d'un pont inter-chaînes. En fin de compte, la gouvernance de Venus a proposé d'utiliser les fonds de la trésorerie pour couvrir entièrement cette créance douteuse.

Incident de Manipulation du Prix de l'Oracle wUSDM

En février 2024, un attaquant a exploité une vulnérabilité dans le protocole ERC-4626, provoquant artificiellement une hausse rapide du prix du stablecoin wUSDM émis par le Mountain Protocol à 1,7 $ en peu de temps. L'attaquant a ensuite déposé une petite quantité de wUSDM dans le protocole Venus.

En raison de la lecture de l'oracle du "faux prix élevé" manipulé, l'attaquant a utilisé ces garanties wUSDM à valeur gonflée pour emprunter d'autres actifs de valeur supérieure dans le pool (comme USDC, ETH, etc.). Alors que le prix du wUSDM revenait à 1 $, l'attaquant avait déjà transféré les actifs empruntés et ne les a pas restitués, entraînant environ 716 000 $ de créances douteuses pour Venus après la liquidation de la transaction.

Controverse sur la Gouvernance Communautaire

En plus des incidents d'attaque mentionnés ci-dessus, Venus a également fait face à un examen externe en raison d'un incident de gouvernance en septembre 2021. À cette époque, un utilisateur de la communauté Venus a proposé une proposition intitulée "Formation de l'Équipe Bravo", visant à accorder à une équipe les mêmes capacités de vote et de collecte de fonds que l'équipe de gouvernance d'origine.

Cependant, l'initiateur aurait induit des votes en promettant de distribuer des jetons. Selon la description de la proposition, sur le financement proposé de 1,9 million de jetons XVS, l'équipe Bravo distribuerait 900 000 XVS (29 millions de dollars) aux adresses ayant voté en faveur. Finalement, le 14 septembre à 22h33, la proposition a été adoptée avec 1,29 million de votes en faveur et 1,19 million de votes contre.

Selon les principes de l'industrie, les propositions de gouvernance sur chaîne doivent être exécutées par l'équipe une fois votées. Cependant, l'équipe de Venus a "annulé" la résolution d'un simple clic, affirmant qu'elle visait à empêcher des individus anonymes de contrôler le protocole par le biais de pots-de-vin. C'est l'un des rares cas dans l'industrie DeFi où une proposition ou un vote de gouvernance sur chaîne a été adopté mais non mis en œuvre.

De plus, en septembre 2025, il y a eu un incident de sécurité dans le protocole Venus qui a entraîné des pertes pour les utilisateurs dépassant 13 millions de dollars, mais cela était principalement dû à l'interface informatique de l'utilisateur ayant été manipulée par des hackers, les conduisant à signer une transaction de "délégation", plutôt qu'à une vulnérabilité dans Venus lui-même.

Pourquoi Venus est devenu un "survivant"

À la lumière de ces incidents d'attaque, Venus peut être considéré comme un rare "survivant" dans l'espace crypto, et il a peut-être devenu le projet le "plus expérimenté" dans la gestion des attaques de hackers. Cela est en grande partie dû au soutien continu de Binance en termes de ressources et de marque pour Venus en tant que géant crypto. Même après tant d'incidents de sécurité, Binance continue de guider directement les utilisateurs de l'échange à déposer dans Venus via des fonctions financières pour obtenir des rendements plus élevés.

Statistiques TVL sur chaîne de Venus Source : DeFillama

Il est bien connu que Binance détient une autorité absolue dans l'écosystème de la chaîne BNB. En tant qu'objet de soutien principal pour Binance dans le domaine du prêt, Venus bénéficie toujours d'un biais écologique et de capacités de couverture des risques que la plupart des autres projets DeFi n'ont pas, même s'il peut y avoir une série de risques de sécurité.

D'un point de vue industriel, les vulnérabilités de la DeFi sont également mises en évidence dans ces cas. Qu'il s'agisse de retards d'oracle, d'actifs à faible liquidité, de manipulation des prix ou de vulnérabilités des mécanismes de gouvernance, ces problèmes sont réapparus à plusieurs reprises dans l'histoire de Venus et de nombreux autres projets DeFi.

Dans des systèmes DeFi hautement automatisés, tant qu'il y a un défaut de conception dans un maillon, les attaquants peuvent souvent exploiter les différences de prix, de liquidité ou de temps pour construire des attaques d'arbitrage complexes.

La capacité de Venus à survivre à plusieurs crises repose en grande partie sur un fort soutien écologique et des capacités de compensation financière. Cependant, pour la grande majorité des projets DeFi, une attaque de plusieurs millions de dollars est souvent suffisante pour mener l'ensemble du protocole à sa fin.

L'"exception" de Venus confirme non seulement la capacité de protection des écosystèmes leaders pour les projets, mais souligne également la fragilité générale du système de sécurité DeFi—lorsque la sécurité ne peut compter que sur un "soutien géant" plutôt que sur le contrôle des risques et les garanties mécaniques du protocole lui-même, la véritable sécurité de la DeFi a encore un long chemin à parcourir.