Il 15 marzo, dei malintenzionati hanno preso di mira Venus Protocol, una piattaforma di lending su BNB Chain, con un presunto exploit tramite flash loan. L’attacco ha portato al furto di circa 3,7 milioni di dollari in crypto.
Si tratta della seconda grave falla nella sicurezza per il protocollo in meno di un anno, andando a compromettere ulteriormente la reputazione di una piattaforma che un tempo era ai vertici della finanza decentralizzata (DeFi).
Venus conferma un’attività insolita sulla sua piattaforma
Ricercatori di sicurezza che hanno analizzato i dati on-chain hanno individuato uno specifico indirizzo dell’attaccante, 0x1a35…6231, che ha orchestrato l’exploit. L’attaccante ha sfruttato una posizione molto ampia in THE, il token nativo del DEX Thena, per drenare progressivamente liquidità dal protocollo.
Utilizzando THE come collaterale, l’exploiter è riuscito a prelevare con successo circa 20 Bitcoin (BTCB), 1,5 milioni di CAKE e 200 BNB.
Infatti, gli utenti DeFi di solito utilizzano le flash loan per prendere in prestito milioni di dollari senza fornire collaterale iniziale. Questo strumento, tanto dibattuto quanto popolare, impone al mutuatario di restituire l’intero debito all’interno di un singolo blocco di transazione.
Sebbene gli sviluppatori abbiano progettato questi prestiti per favorire l’efficienza della liquidità, gli hacker li sfruttano frequentemente per manipolare pool di liquidità poco profondi o i prezzi degli oracoli.
In questo caso, l’attaccante sembra aver sfruttato la valutazione di THE per prendere in prestito asset di maggiore qualità che il protocollo potrebbe ora faticare a recuperare.
Venus ha confermato l’“attività anomala” in una dichiarazione su X (ex Twitter). Ha inoltre specificato che l’indagine si concentra al momento sui mercati THE e CAKE.
“Condivideremo aggiornamenti man mano che l’indagine avanzerà. Apprezziamo la vostra pazienza e il vostro supporto”, ha aggiunto.
L’episodio rappresenta un monito sui rischi da “contagio del collaterale” insiti nel lending permissionless. Venus, lanciata nel 2020 ed estesa anche su reti come Arbitrum ed Ethereum, ha visto la propria Total Value Locked (TVL) crollare da un picco di 7 miliardi di dollari fino a circa 1,47 miliardi di dollari.
Questo calo segue una serie di fasi ribassiste del mercato e un phishing attack da 13 milioni di dollari lo scorso anno.
Con gli hacker che hanno già sottratto oltre 400 milioni di dollari ai protocolli crypto nel 2026, l’exploit su Venus sottolinea una sfida sistemica per tutto l’ecosistema, chiamato a rafforzare la sicurezza della propria infrastruttura di base.
