Venus Protocol, eine Kreditplattform auf der BNB-Kette, wurde erneut ausgenutzt, nachdem Angreifer die Token-Liquidität manipuliert hatten, um die Schnellkredit-Mechanik zu missbrauchen.
Der Vorfall kostete rund 3,6 Millionen US-Dollar und zwang das Protokoll, den Handel mit mehreren Vermögenswerten einzuschränken.
Wie sich der Exploit entwickelte
Die Analyse nach dem Vorfall zeigt, dass die Operation bereits seit Monaten im Gange war. Der Angreifer verbrachte diesen Zeitraum damit, THE, den nativen Token von, anzuhäufen Thena.
Insgesamt wurden etwa 14,5 Millionen THE – etwa 84 % des zirkulierenden Angebots des Tokens – auf dem freien Markt gekauft.
Anschließend übertrug der Angreifer die Token in das Kreditsystem von Venus-Protokollunter Umgehung des typischen Ablagerungsflusses. Dieses Manöver ermöglichte es dem Angreifer, eine künstliche Position aufzubauen, die den tatsächlich im Umlauf befindlichen Token-Vorrat bei weitem überstieg.
Aufzeichnungen zeigen, dass der Exploit-Zyklus schließlich etwa 53,2 Millionen THE umfasste, etwa 367 % mehr als das tatsächliche Angebot des Vermögenswerts.
Die Strategie stützte sich auf die geringe On-Chain-Liquidität des Tokens. Der Angreifer hinterlegte wiederholt THE als Sicherheit, lieh andere Vermögenswerte dafür und nutzte diese geliehenen Mittel, um mehr THE zu kaufen.
Jeder Zyklus trieb den Oracle-Preis des Tokens in die Höhe, was den Anschein einer steigenden Nachfrage erweckte und den Wert der Sicherheit in die Höhe trieb.
Mit jeder Schleife erhöhte der Angreifer die Kreditgröße und brachte das System schließlich über seine Grenzen hinaus.
Der Exploit hat letztendlich Vermögenswerte in Höhe von rund 3,6 Millionen US-Dollar verschlungen. Zu den gestohlenen Geldern gehörten 6,67 Millionen PancakeSwap2.801 BNB1,97K WBNB, 1,58 Millionen USD-Münzeund 20 Bitcoin BEP2.
Protokollantwort
Als Reaktion darauf das Team dahinter Venus-Protokoll suspendierte den THE-Markt und führte strengere Sicherheitenanforderungen für mehrere als risikoreich geltende Vermögenswerte ein.
Das überarbeitete Rahmenwerk erhöht die Schwellenwerte für Sicherheiten und begrenzt das Risiko von Token mit geringer Liquidität oder konzentriertem Besitz.
Unter den neuen Bedingungen müssen als Sicherheit verwendete Token strengere Standards in Bezug auf Marktkapitalisierung, Handelsvolumen und Angebotsverteilung erfüllen.
Sechs Vermögenswerte wurden gemäß den aktualisierten Kriterien gekennzeichnet, darunter Bitcoin-Bargeld [BCH], Litecoin [LTC], Uniswap [UNI], Geist [AAVE], Filecoin [FIL]Und Vertrauens-Wallet-Token [TWT].
Nicht der erste Sicherheitsvorfall
Dies war jedoch nicht der erste Sicherheitsvorfall im Zusammenhang mit dem Protokoll.
Im September 2025 meldete Venus Protocol Verluste in Höhe von rund 27 Millionen US-Dollar, nachdem ein Phishing-Angriff den Zugriff auf seinen Core-Pool-Controller beeinträchtigt hatte.
Der Angreifer hat eine bösartige Vertragsadresse eingesetzt, die das System manipuliert hat. Dieser Exploit ermöglichte den Zugriff auf iToken-Assets wie vUSDC und vETH.
Dennoch blieb der Total Value Locked der Plattform relativ stabil.
Daten zeigten, dass TVL in den letzten Tagen einen Wert von nahezu 1,47 Milliarden US-Dollar hielt, ohne dass es nach dem jüngsten Exploit zu einem unmittelbaren starken Rückgang kam.
Abschließende Zusammenfassung
- Das Venus-Protokoll erlitt einen Exploit in Höhe von 3,6 Millionen US-Dollar, nachdem Angreifer die THE-Token-Liquidität manipuliert und die Schnellkredit-Mechanik missbraucht hatten.
- Der Angreifer sammelte 14,5 Mio. THE (84 % des zirkulierenden Angebots), bevor er den Exploit startete.
