Reduzido a um caixa eletrônico de hacker, mas ainda de pé, o roubo de Venus reflete a estranheza do DeFi

Autor: Gu Yu, ChainCatcher

Hackers são os inimigos mortais de qualquer protocolo DeFi. A grande maioria dos protocolos DeFi falha e declina após enfrentar ataques que resultam em perdas de milhões de dólares. No entanto, como o protocolo de empréstimos principal da BNB Chain e um projeto incubado pela Binance, o Venus Protocol é claramente uma rara exceção.

Venus foi desenvolvido pela equipe do Swipe, que foi adquirida pela Binance, e foi lançado no mês seguinte ao lançamento da mainnet da BNB Chain em 2020. Rapidamente se tornou o maior protocolo de empréstimos na BNB Chain em termos de ativos bloqueados e escala de usuários. De acordo com a RootData, o FDV atual dos tokens Venus é de $94 milhões, e o TVL é de $1,47 bilhões.

Recentemente, Venus se tornou mais uma vez um alvo de ataque hacker. De acordo com a revisão da equipe oficial, o atacante começou a acumular os tokens THE através de processos normais de depósito a partir de junho de 2025, mantendo cerca de 12,2 milhões de THE, avaliados em $2,4 milhões.

Em 15 de março, o atacante depositou diretamente todos os tokens THE como colateral no contrato de empréstimo, aproveitando a liquidez extremamente baixa em cadeia de THE combinada com atrasos do oráculo TWAP para realizar manipulação de preço recursiva, pegando emprestado milhões de dólares em BTC, BNB, CAKE e outros ativos.

À medida que o preço de THE colapsou, desencadeando uma cadeia de liquidações, este incidente resultou em aproximadamente $2,15 milhões em dívidas ruins para Venus. Olhando para a história dos últimos anos, Venus enfrentou ataques de hackers quase todos os anos, particularmente ataques de oráculo, levando a uma dívida ruim acumulada de mais de $100 milhões.

Incidente de Manipulação de Preço do Oráculo XVS

Em maio de 2021, um atacante explorou a relativa falta de liquidez dos tokens XVS em exchanges centralizadas (principalmente Binance) para empurrar rapidamente o preço do XVS de cerca de $70 para mais de $140 em um curto período. O atacante então usou os XVS que possuía como colateral para pegar emprestado uma grande quantidade de ativos de alta qualidade (cerca de 2.000 BTC e 5.700 ETH) do protocolo Venus.

Subsequentemente, o preço do XVS despencou, caindo para um mínimo de $31, desencadeando liquidações em larga escala. Devido à liquidez do mercado não conseguir suportar uma liquidação tão massiva, o protocolo Venus acumulou mais de $95 milhões em dívidas ruins.

Após este incidente, o protocolo anunciou que a equipe Swipe se retiraria da gestão, e um novo conselho composto por membros da comunidade assumiria a governança subsequente do protocolo, mas ainda mantinha um forte histórico da Binance.

Incidente da Queda do LUNA

Em maio de 2022, durante o incidente da queda do LUNA daquele mês, o preço real do LUNA caiu rapidamente abaixo de $0,1 em pouco tempo. No entanto, devido ao oracle da Chainlink parar de atualizar após o preço cair para um limite específico ($0,10), o protocolo Venus continuou a aceitar colateral em LUNA pelo "preço alto" incorreto de $0,1.

Após descobrir essa vulnerabilidade, o atacante comprou uma grande quantidade de LUNA a um preço baixo no mercado secundário e depositou no Venus, usando o valor inflacionado como colateral para emprestar outros ativos, resultando em mais de $11,2 milhões em dívida ruim para o protocolo.

Incidente do Oracle da Binance

Em dezembro de 2023, devido ao Venus usar os dados de feed de preço do Oracle da Binance na pool de empréstimos isolada do ativo de baixa liquidez snBNB, o atacante comprou snBNB naquela pool muito pequena no PancakeSwap. Devido à profundidade extremamente fina, o preço do snBNB foi instantaneamente elevado a um nível absurdo.

O atacante então depositou 0,49 snBNB e tomou emprestado quase todos os ativos disponíveis na pool (incluindo WBNB, BNBx, ankrBNB, etc.), totalizando aproximadamente $274.000, que foram posteriormente lavados através de uma ponte cross-chain. Por fim, a governança do Venus propôs usar os fundos do tesouro para cobrir totalmente essa dívida ruim.

Incidente de Manipulação de Preço do Oracle wUSDM

Em fevereiro de 2024, um atacante explorou uma vulnerabilidade no protocolo ERC-4626, causando artificialmente um aumento no preço do stablecoin wUSDM emitido pelo Mountain Protocol para $1,7 em pouco tempo. O atacante então depositou uma pequena quantidade de wUSDM no protocolo Venus.

Devido ao oracle ler o "falso preço alto" manipulado, o atacante usou esses colaterais wUSDM de valor inflacionado para tomar emprestados outros ativos de maior valor na pool (como USDC, ETH, etc.). À medida que o preço do wUSDM retornou ao normal de $1, o atacante já havia transferido os ativos emprestados e não os devolveu, resultando em aproximadamente $716.000 em dívida ruim para o Venus após a liquidação da transação.

Controvérsia da Governança da Comunidade

Além dos incidentes de ataque acima, o Venus também enfrentou escrutínio externo devido a um incidente de governança em setembro de 2021. Naquela época, um usuário da comunidade Venus propôs uma proposta intitulada "Formando a Equipe Bravo", com a intenção de conceder a uma equipe as mesmas capacidades de votação e arrecadação de fundos que a equipe de governança original.

No entanto, o iniciador supostamente induziu votos prometendo distribuir tokens. De acordo com a descrição da proposta, dos 1,9 milhões de tokens XVS propostos para financiamento, a equipe Bravo distribuiria 900.000 XVS ($29 milhões) para endereços que votaram a favor. Por fim, em 14 de setembro às 22h33, a proposta foi aprovada com 1,29 milhão de votos a favor e 1,19 milhão de votos contra.

De acordo com os princípios da indústria, propostas de governança on-chain devem ser executadas pela equipe uma vez que sejam aprovadas. No entanto, a equipe da Venus "cancelou" a resolução com um clique, afirmando que o objetivo era impedir que indivíduos anônimos controlassem o protocolo por meio de subornos. Este é um dos raros casos na indústria DeFi onde uma proposta ou votação de governança on-chain foi aprovada, mas não implementada.

Além disso, em setembro de 2025, houve um incidente de segurança no protocolo Venus que resultou em perdas de usuários superiores a 13 milhões de dólares, mas isso se deveu principalmente à interface do computador do usuário ter sido manipulada por hackers, levando-os a assinar uma transação de "delegação", em vez de uma vulnerabilidade no próprio Venus.

Por que a Venus se tornou uma "sobrevivente"

À luz desses incidentes de ataque, a Venus pode ser considerada uma rara "sobrevivente" no espaço cripto, e pode ter se tornado o projeto "mais experiente" em lidar com ataques de hackers. Isso se deve em grande parte ao apoio contínuo da Binance em termos de recursos e marca para a Venus como um gigante cripto. Mesmo após tantos incidentes de segurança, a Binance ainda orienta diretamente os usuários da exchange a depositar na Venus por meio de funções financeiras para obter rendimentos mais altos.

Estatísticas de TVL on-chain da Venus Fonte: DeFillama

É bem conhecido que a Binance detém autoridade absoluta no ecossistema da BNB Chain. Como o principal objeto de apoio da Binance no campo de empréstimos, a Venus sempre desfruta de inclinação ecológica e capacidades de cobertura de risco que a maioria dos outros projetos DeFi não possui, mesmo que possa haver uma série de riscos de segurança.

Do ponto de vista da indústria, as vulnerabilidades do DeFi também são destacadas nesses casos. Seja por atrasos de oráculos, ativos de baixa liquidez, manipulação de preços ou vulnerabilidades no mecanismo de governança, esses problemas apareceram repetidamente na história da Venus e de muitos outros projetos DeFi.

Em sistemas DeFi altamente automatizados, desde que haja uma falha de design em qualquer um dos elos, os atacantes podem frequentemente explorar diferenças de preço, liquidez ou tempo para construir ataques de arbitragem complexos.

A capacidade da Venus de sobreviver a múltiplas crises depende em grande parte de um forte apoio ecológico e capacidades de compensação financeira. No entanto, para a grande maioria dos projetos DeFi, um ataque de dezenas de milhões de dólares é frequentemente suficiente para levar todo o protocolo ao seu fim.

A "exceção" da Venus não apenas confirma a capacidade protetora dos ecossistemas líderes para projetos, mas também destaca a fragilidade geral do sistema de segurança DeFi—quando a segurança pode depender apenas do "apoio de gigantes" em vez das próprias garantias de controle de risco e mecanismos do protocolo, a verdadeira segurança do DeFi ainda tem um longo caminho a percorrer.