Ce qu’il faut retenir :
- Venus Protocol a perdu 2,15 millions de dollars suite à une manipulation du prix du token THE de Thena sur BNB Chain.
- L’attaquant a exploité la faible liquidité du token pour gonfler artificiellement son prix de 0,27 à 5 dollars via une boucle d’oracle.
- L’opération a finalement échoué avec la liquidation de l’attaquant, qui n’aurait réalisé aucun profit significatif.
Une manipulation d’oracle classique sur THE
Venus Protocol, la plus grande plateforme de prêt sur BNB Chain, a été victime dimanche d’une attaque par manipulation de prix visant le token THE de Thena. L’opération laisse le protocole avec environ 2,15 millions de dollars de mauvaises dettes.
L’attaquant a exploité la faible liquidité on-chain de THE pour exécuter une boucle de manipulation d’oracle : déposer THE en garantie, emprunter d’autres actifs, utiliser les fonds pour acheter plus de THE, et répéter l’opération tandis que l’oracle à moyenne pondérée temporelle intégrait le prix gonflé. Venus avait listé THE comme collatéral dans son Core Pool.
Un prix multiplié par 18 avant l’effondrement
Le prix de THE a été forcé de 0,27 dollar à près de 5 dollars, selon le chercheur on-chain Weilin Li qui a détecté l’attaque. Cette méthode reproduit l’exploit de Mango Markets d’octobre 2022, un type d’attaque que Li avait modélisé dans un article académique de 2023.
Pour contourner le plafond d’offre de Venus sur THE, l’attaquant a utilisé une donation attack : transférer directement des tokens THE au contrat vTHE plutôt que de déposer via le processus normal. Cette technique a gonflé le taux de change reconnu par le protocole, contournant effectivement la limite.
L’attaquant liquidé par sa propre manipulation
Après un premier round d'emprunts, l’oracle de Venus avait mis à jour le prix de THE à environ 0,50 dollar, toujours bien en dessous du prix spot gonflé mais presque le double du niveau pré-attaque. L’attaquant a tenté de pousser plus loin en continuant d’acheter THE avec les actifs empruntés.
La pression vendeuse a finalement submergé l’effort. Le facteur de santé de l’attaquant est tombé près de 1, déclenchant la liquidation. Avec environ 30 millions de dollars de collatéral notionnel mais virtuellement aucune profondeur de marché, THE s’est effondré à 0,24 dollar après liquidation, sous son niveau pré-attaque.
Un exploit finalement non rentable
Selon Weilin Li, l’attaquant n’aurait “presque rien gagné on-chain” et pourrait même avoir perdu de l’argent, bien qu’il ait pu détenir des positions futures perpétuelles compensatoires sur des venues externes. L’analyste blockchain EmberCN a confirmé les mauvaises dettes à environ 2,15 millions de dollars.
Venus a reconnu une “activité inhabituelle” dans le pool THE sur X, promettant des mises à jour au fur et à mesure de l’enquête du protocole. Li lui-même a déclaré avoir réalisé environ 15 000 dollars avec un short sur un contrat futures perpétuel suivant le prix de THE.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
