Explotación en Venus en la cadena BNB: $2.15 millones en pérdidas y caída de XVS

En las últimas horas, la explotación de Venus ha puesto de manifiesto las vulnerabilidades de los mercados DeFi en BNB Chain, con repercusiones en el token de gobernanza XVS y en el ecosistema en general.

Detalles de la explotación e impacto inmediato en XVS

El protocolo de préstamos Venus fue víctima de una explotación el 16 de marzo, que generó aproximadamente 2,15 millones de dólares en deuda incobrable y una caída de más del 9% en el valor del token de gobernanza XVS en las 24 horas siguientes.

El protocolo, activo en BNB Chain con más de 1,4 mil millones de dólares en valor total bloqueado, vio intensificarse la presión vendedora sobre el token XVS solo después de que un análisis en cadena destacara movimientos significativos hacia exchanges por parte de grandes tenedores, incluyendo billeteras vinculadas a Justin Sun.

Mientras tanto, la caída ocurrió en un contexto más amplio de aversión al riesgo: el índice CoinDesk 20 perdió aproximadamente un 4,6% en el mismo período, indicando una corrección general en los activos digitales.

Cómo ocurrió la explotación de Venus en el mercado de Thena

El ataque se dirigió al mercado de Thena dentro del protocolo. Según Venus, el atacante pasó aproximadamente nueve meses acumulando una posición significativa en el token THE de Thena, utilizando unos 7.400 ETH provenientes del mezclador Tornado Cash, según informó la firma de análisis PeckShield.

Posteriormente, el atacante donó más de 36 millones de tokens THE directamente al contrato vTHE. Esta operación evitó los controles normales de límite y aumentó la tasa de cambio del mercado en aproximadamente 3,8 veces, creando un valor en libros inflado.

Con este valor teórico más alto, el atacante utilizó THE como garantía para tomar prestados otros activos del protocolo. Además, continuó comprando THE en un mercado caracterizado por una liquidez reducida, amplificando el efecto en el precio.

Movimiento del precio de THE y realización de beneficios

Las adquisiciones llevaron el precio de THE de aproximadamente $0,26 a casi $0,56. Venus aclaró que esto no fue un ataque de préstamo flash, que los oráculos de precios continuaron funcionando correctamente y que el módulo Venus Flux no se vio afectado.

Sin embargo, cuando el atacante comenzó a vender THE, el precio cayó más del 17% en menos de un día, desencadenando una serie de liquidaciones. Los análisis estiman que el valor extraído antes de las liquidaciones osciló entre 3,7 millones y 5,8 millones de dólares, en forma de activos como bitcoin tokenizado, BNB y stablecoins.

En general, el daño directo estuvo mayormente concentrado en el token THE y, en menor medida, en CAKE. Venus enfatizó que no hubo pérdidas de fondos de los usuarios fuera de los pools involucrados.

Respuesta del protocolo Venus y medidas de mitigación

En respuesta al incidente, el protocolo suspendió nuevos préstamos y retiros relacionados con THE, restableció el valor de garantía atribuido al token y ajustó los parámetros de riesgo en otros mercados considerados potencialmente vulnerables.

Los mercados señalados como en riesgo incluyen BCH, LTC, AAVE y otros activos. Además, Venus afirmó que se está corrigiendo la falla en el código que permitió el bypass de los controles de límite en el contrato vTHE para evitar usos similares en el futuro.

Dicho esto, el protocolo explicó que la dirección del atacante ya había sido señalada por la comunidad antes del incidente. Sin embargo, Venus no intervino, ya que en ese momento no había violaciones de reglas ni explotaciones reales reportadas.

Descentralización, gobernanza y cobertura de pérdidas

El incidente ha reavivado el debate sobre la naturaleza permissionless de los protocolos DeFi. Venus recordó que, como un protocolo descentralizado, no puede ni debe congelar ni poner en lista negra direcciones solo por sospechas, destacando la tensión estructural entre seguridad y apertura.

La gobernanza de la plataforma ahora deberá decidir cómo cubrir la deuda incobrable de aproximadamente 2,15 millones de dólares, considerando el uso del fondo de riesgo del protocolo. Esta fase será crucial para medir la resiliencia del modelo de gestión de riesgos y la capacidad de absorber eventos extremos.

Además, el episodio representa un nuevo estudio de caso para los operadores de DeFi, quienes tendrán que lidiar con la dinámica de acumulación lenta de posiciones, manipulación de tasas internas y explotación de brechas en los controles de seguridad de los mercados colateralizados.