Au cours des dernières heures, l’exploit de Venus a mis en évidence les vulnérabilités des marchés DeFi sur BNB Chain, avec des répercussions sur le token de gouvernance XVS et l’écosystème plus large.
Summary
Détails de l’exploit et impact immédiat sur XVS
Le protocole de prêt Venus a été victime d’un exploit le 16 mars, générant environ 2,15 millions de dollars de dette irrécouvrable et une baisse de plus de 9% de la valeur du token de gouvernance XVS dans les 24 heures suivantes.
Le protocole, actif sur BNB Chain et avec plus de 1,4 milliard de dollars de valeur totale verrouillée, a vu la pression de vente sur le token XVS s’intensifier seulement après que l’analyse on-chain a mis en évidence des mouvements significatifs vers les échanges de la part de grands détenteurs, y compris des portefeuilles liés à Justin Sun.
Entre-temps, la baisse s’est inscrite dans un contexte de plus grande aversion au risque : l’indice CoinDesk 20 a perdu environ 4,6% sur la même période, indiquant une correction généralisée sur les actifs numériques.
Comment l’exploit de Venus s’est produit sur le marché de Thena
L’attaque a ciblé le marché de Thena au sein du protocole. Selon Venus, l’attaquant a passé environ neuf mois à accumuler une position significative dans le token THE de Thena, en utilisant comme source de capital environ 7.400 ETH retirés du mixer Tornado Cash, comme rapporté par la société d’analyse PeckShield.
Ensuite, l’attaquant a donné plus de 36 millions de tokens THE directement au contrat vTHE. Cette opération a contourné les contrôles normaux des limites et a fait augmenter le taux de change du marché d’environ 3,8 fois, créant une valeur comptable gonflée.
Avec cette valeur théorique plus élevée, l’attaquant a utilisé THE comme collatéral pour emprunter d’autres actifs du protocole. De plus, il a continué à acheter THE sur un marché caractérisé par une liquidité réduite, amplifiant l’effet sur les prix.
Mouvement des prix de THE et réalisation du profit
Les acquisitions ont poussé le prix de THE d’environ 0,26 dollar à presque 0,56 dollar. Venus a précisé qu’il ne s’agissait pas d’une attaque par flash loan, que les oracles de prix ont continué à fonctionner correctement et que le module Venus Flux n’a pas été affecté.
Cependant, lorsque l’attaquant a commencé à vendre THE, le prix a chuté de plus de 17% en moins d’une journée, déclenchant une série de liquidations. Les analyses estiment que la valeur extraite avant les liquidations se situe entre 3,7 millions et 5,8 millions de dollars, sous forme d’actifs tels que bitcoin tokenisé, BNB et stablecoins.
Dans l’ensemble, le dommage direct s’est concentré en grande partie sur le token THE et, dans une moindre mesure, sur CAKE. Venus a souligné qu’il n’y a pas eu de pertes de fonds des utilisateurs en dehors des pools impliqués.
Réponse du protocole Venus et mesures de mitigation
En réponse à l’incident, le protocole a suspendu les nouveaux prêts et les retraits relatifs à THE, a annulé la valeur de collatéral attribuée au token et a renforcé les paramètres de risque sur d’autres marchés considérés comme potentiellement vulnérables.
Les marchés signalés comme à risque incluent ceux pour BCH, LTC, AAVE et d’autres actifs. De plus, Venus a déclaré que la faille dans le code qui a permis de contourner les contrôles de cap dans le contrat vTHE est en cours de correction, pour éviter une utilisation similaire à l’avenir.
Cela dit, le protocole a expliqué que l’adresse de l’attaquant avait déjà été signalée par la communauté avant l’incident. Venus n’était cependant pas intervenue, car il n’y avait pas de violations des règles ou d’exploits effectifs au moment du signalement.
Décentralisation, gouvernance et couverture des pertes
L’affaire a ravivé le débat sur la nature permissionless des protocoles DeFi. Venus a rappelé qu’en tant que protocole décentralisé, il ne peut ni ne doit geler ou mettre sur liste noire des adresses uniquement sur la base de soupçons, soulignant la tension structurelle entre sécurité et ouverture.
La gouvernance de la plateforme devra maintenant décider comment couvrir la dette irrécouvrable d’environ 2,15 millions de dollars, en évaluant l’utilisation du fonds de risque du protocole. Cette phase sera cruciale pour mesurer la résilience du modèle de gestion des risques et la capacité à absorber des événements extrêmes.
De plus, l’épisode représente un nouveau cas d’étude pour les opérateurs DeFi, qui devront se confronter aux dynamiques d’accumulation lente de positions, de manipulation des taux internes et d’exploitation des lacunes dans les contrôles de sécurité des marchés collatéralisés.
