Venus Protocol hackeado por 3,7 millones de dólares mediante manipulación del límite de suministro

Un atacante explotó una debilidad en el mecanismo de límite de suministro del Venus Protocol utilizando tokens THENA y logró extraer criptoactivos equivalentes a 3,7 millones de dólares del protocolo de la BNB Chain.

Atacante eludió el límite de suministro mediante transferencia directa

El 15 de marzo de 2026, Venus Protocol —uno de los principales protocolos de préstamo en la BNB Chain— fue objeto de un ataque dirigido que explotó una debilidad en el sistema de límite de suministro del protocolo. Según The Defiant, el atacante utilizó la baja liquidez del token THENA (THE) para llevar a cabo lo que los analistas sospechan fue un ataque de préstamo flash o manipulación de precios.

En lugar de utilizar el proceso de acuñación ordinario, el atacante transfirió tokens THE directamente al contrato vTHE. Esto eludió las limitaciones del límite de suministro e infló artificialmente el tipo de cambio interno que el protocolo utilizaba como base. Con la tasa manipulada como garantía, fue posible obtener préstamos muy por encima de lo que el valor real de la garantía debería haber permitido.

El atacante nunca necesitó romper un solo contrato inteligente; la debilidad residía en los propios parámetros de riesgo del protocolo.

Venus Protocol hackeado por 3,7 millones de dólares mediante manipulación del límite de suministro

Robó 20 BTCB, 200 BNB y 1,5 millones de CAKE

El resultado del ataque fue que el atacante logró prestar activos por un valor total de aproximadamente 3,7 millones de dólares. Entre los activos retirados se encontraban 20 BTCB, 200 BNB y un total de 1,5 millones de tokens CAKE. El protocolo estima que le quedan unos 2,15 millones de dólares en deuda impagada tras el incidente.

THENA misma confirmó al mercado que los contratos inteligentes propios del protocolo no fueron comprometidos; el vector de ataque se encontraba exclusivamente en el lado de Venus.

$3,7M

Monto del botín

$2,15M

Deuda impagada estimada

Venus detiene mercados y reduce factores de garantía

Venus Protocol confirmó rápidamente «actividad inusual» e implementó contramedidas inmediatas. Todos los préstamos y retiros en los mercados de THE y CAKE fueron suspendidos temporalmente. Además, el factor de garantía (collateral factor) se estableció en cero para otros seis mercados: BCH, LTC, UNI, AAVE, FIL, TWT y lisUSD.

Común a estos mercados es la baja liquidez —definida como menos de 2 mil millones de dólares en capitalización de mercado, menos de 100 millones de dólares en volumen y menos de 40 millones de dólares en DEX-TVL— combinada con una alta concentración entre usuarios individuales (más del 60 por ciento). Una investigación completa está en curso, y el protocolo ha anunciado un informe detallado tan pronto como el análisis haya concluido.

No es la primera vez que Venus es atacado

Esta no es la primera vez que Venus Protocol está en el punto de mira por vulnerabilidades de seguridad. En mayo de 2021, el protocolo fue afectado por una manipulación de precios del token XVS que desencadenó más de 200 millones de dólares en liquidaciones forzadas y resultó en más de 95 millones de dólares en deuda impagada. En aquella ocasión, el protocolo implementó un extenso plan de rescate de nueve meses, incluyendo contribuciones de Binance.

En febrero de 2025, Venus fue nuevamente afectado por un «ataque de donación» donde el atacante utilizó préstamos flash para inflar el precio interno de la stablecoin con rendimiento wUSDM de 1,06 dólares a 1,70 dólares. Ese incidente causó al protocolo pérdidas de más de 716.000 dólares, según el material de investigación.

En septiembre de 2025, un solo usuario perdió 27 millones de dólares en un ataque de phishing dirigido a usuarios de Venus, pero la rápida respuesta del protocolo —con la liquidación forzada de la billetera del atacante en siete horas— llevó a la recuperación total de los fondos robados.

La economía DeFi de BNB Chain bajo presión

El incidente ocurre en un período en el que la economía DeFi de BNB Chain ya está bajo presión. Según datos de investigación, el TVL total de BNB Chain había disminuido a aproximadamente 5,32 mil millones de dólares en marzo de 2025, desde 8,5 mil millones de dólares en abril de 2024. Venus Protocol es, sin embargo, el protocolo de préstamo más grande en la cadena, con 692,6 millones de dólares en préstamos activos a finales de 2025.

El panorama general del mercado refuerza la preocupación: Bitcoin se negocia alrededor de los 73.700 dólares, y el índice Fear & Greed registra 23 de 100 —en territorio de miedo extremo. En un clima así, las vulnerabilidades de seguridad en los protocolos DeFi pueden tener repercusiones especialmente significativas en la confianza del usuario y la liquidez.

El ataque a Venus es un ejemplo de libro de cómo la baja liquidez y los parámetros de riesgo débiles pueden ser explotados, no mediante fuerza bruta, sino a través de los propios mecanismos del protocolo.

¿Qué sigue?

Venus Protocol aún no ha hecho público un plan concreto para gestionar la deuda impagada de 2,15 millones de dólares. Basándose en incidentes anteriores, es razonable esperar que se presente una propuesta de gobernanza (VIP) a la comunidad. El informe de investigación que el protocolo ha anunciado será crucial para comprender si la debilidad ha sido completamente cerrada, o si ataques similares podrían repetirse contra otros mercados de baja liquidez en la plataforma.