Nelle ultime ore un grave attacco a Venus Protocol su BNB Chain ha sfruttato la manipolazione del token THE, causando perdite milionarie e nuovo debito non collateralizzato.
Summary
Dinamica dell’attacco e manipolazione del prezzo di THE
Domenica, Venus Protocol, principale piattaforma di lending su BNB Chain, è stata colpita da uno schema sofisticato di manipolazione del prezzo incentrato su THE, token nativo di Thena.
L’attaccante ha gonfiato artificialmente il valore di THE da circa 0,27 dollari a quasi 5 dollari, sfruttando la scarsa liquidità on-chain. Ha depositato THE come collaterale, preso in prestito altri asset, ricomprato THE e ripetuto il ciclo mentre l’oracolo di prezzo di Venus si adeguava alle quotazioni manipolate.
Per aggirare i limiti di quantità impostati da Venus su THE, il soggetto ha usato una tecnica di donation attack. Invece di seguire il normale flusso di deposito, ha inviato direttamente i token al contratto smart vTHE, alterando il tasso di cambio interno riconosciuto dal protocollo e rendendo inefficaci i controlli sul tetto massimo.
Asset sottratti e debito non collateralizzato
Sfruttando il valore gonfiato di THE come garanzia, l’exploiter ha prelevato dal protocollo 6,67 milioni di CAKE, 1,58 milioni di USDC, 2.801 BNB e 20 Bitcoin. Il danno complessivo supera i 3,7 milioni di dollari, secondo quanto riportato da Wu Blockchain.
Il ricercatore indipendente EmberCN ha stimato un debito in sofferenza di circa 2,15 milioni di dollari, costituito da 1,18 milioni di CAKE e 1,84 milioni di THE. Si tratta di posizione scoperta, non più coperta da garanzie.
Il wallet usato per l’operazione ha ricevuto il finanziamento iniziale tramite Tornado Cash, con un afflusso di 7.400 ETH, evidenziando l’uso di un mixer per offuscare la provenienza dei fondi.
Reazione di Venus Protocol e misure di emergenza
Il team di Venus ha comunicato su X di aver rilevato “attività anomala” nel pool di liquidità di THE. Come misura di sicurezza, la piattaforma ha bloccato tutte le operazioni di prestito e prelievo legate al token mentre prosegue l’indagine interna.
Inoltre, il protocollo sta analizzando l’impatto del nuovo debito non collateralizzato sulle diverse pool, con l’obiettivo di definire eventuali misure correttive per limitare il rischio sistemico per gli utenti.
L’attacco a Venus Protocol potrebbe aver generato perdite per l’hacker
L’exploit non si è sviluppato in modo lineare. Dopo il primo ciclo di prestito, l’oracolo con prezzo medio ponderato nel tempo (TWAP) di Venus ha aggiornato il valore di THE solo a circa 0,50 dollari, ben al di sotto del prezzo manipolato sul mercato.
L’attaccante ha continuato ad acquistare THE con il capitale preso in prestito. Tuttavia, la pressione di vendita ha prevalso, facendo scendere il fattore di salute del conto verso 1 e innescando la liquidazione automatica delle posizioni.
I token THE sono stati scaricati su un order book quasi privo di profondità di liquidità. Il prezzo è crollato fino a circa 0,24 dollari, sotto la quotazione pre-attacco. Il ricercatore on-chain Weilin Li, che ha individuato per primo l’evento, ritiene che il responsabile abbia realizzato un profitto on-chain minimo, se non addirittura una perdita netta.
Precedenti di debito e vulnerabilità su Venus
Non è la prima volta che Venus si confronta con debiti in seguito a manipolazioni di mercato. Nel 2021, uno schema basato sul token nativo XVS generò oltre 95 milioni di dollari di debito in sofferenza, mettendo sotto pressione l’intero protocollo.
Nel 2022, durante il collasso di Terra/LUNA, la piattaforma assorbì ulteriori 14 milioni di dollari di posizioni non coperte. Più di recente, a febbraio 2025, un donation attack sull’implementazione di Venus su ZKSync ha prodotto oltre 700.000 dollari di debito utilizzando tecniche quasi identiche a quelle impiegate nell’incidente di domenica.
La vulnerabilità legata al donation attack, sfruttata anche in questo episodio, è una debolezza nota nelle piattaforme di prestito derivate dal codice di Compound. Il report di sicurezza Code4rena su Venus aveva già evidenziato questo rischio, ma il team di sviluppo ne aveva ridimensionato la gravità.
Contesto di mercato e prezzo attuale di THE
Al momento della pubblicazione, THE veniva scambiato a circa 0,2255 dollari, in calo di oltre 17% nelle precedenti 24 ore. Il crollo riflette la perdita di fiducia immediata dopo l’exploit.
Nel complesso, l’episodio riapre il dibattito sulla sicurezza dei protocolli di lending basati su Compound e sulla gestione del rischio oracolare, soprattutto su reti come BNB Chain con liquidità frammentata.
