平台 de prêt décentralisé Venus Protocol a annoncé dimanche qu’une activité transactionnelle anormale avait été détectée dans le pool de fonds du token Thena (THE) au sein du pool principal. Selon la dernière enquête de leur partenaire en gestion des risques, Allez Labs, cet incident a été une attaque de manipulation de plafond d’offre soigneusement planifiée, s’étendant sur environ 9 mois depuis la conception jusqu’à l’exécution, entraînant une perte de plus de 3,7 millions de dollars.
Analyse complète du processus d’attaque : une planification en quatre phases
L’enquête d’Allez Labs a révélé la logique opérationnelle complète de l’attaque, divisée en quatre étapes clés :
Première étape : accumulation lente du token sur 9 mois
Depuis juin 2025, l’attaquant a accumulé lentement des tokens THE, atteignant finalement 84 % du plafond d’offre, soit environ 14,5 millions de tokens. Cette stratégie d’accumulation progressive a permis d’éviter de déclencher les alertes de risque de la plateforme.
Deuxième étape : transfert direct pour contourner le plafond d’offre
L’attaquant n’a pas utilisé le processus normal de dépôt, mais a transféré directement des tokens dans le contrat du protocole, évitant ainsi le mécanisme de plafond d’offre. Il a finalement constitué une position de 53,2 millions de THE, soit 3,67 fois le plafond d’offre.
Troisième étape : manipulation de l’oracle TWAP
En exploitant la faiblesse structurelle liée à la faible liquidité on-chain du token THE, l’attaquant a manipulé l’oracle TWAP (moyenne pondérée dans le temps) par des opérations récursives, faisant passer le prix de THE d’environ 0,27 USD à environ 0,53 USD.
Quatrième étape : emprunt massif d’actifs avec une garantie artificiellement surévaluée
Sous l’effet de cette augmentation artificielle de la valeur de la garantie, l’attaquant a emprunté divers actifs à haute liquidité en utilisant 53,2 millions de THE comme collatéral.
Détails des actifs volés et mesures d’urgence du protocole
Actifs empruntés par l’attaquant au pic :
· 6 670 000 CAKE (jeton natif de PancakeSwap)
· 2 801 BNB (jeton natif de BNB Chain)
· 1 970 WBNB
· 1 580 000 USDC
· 20 BTCB (Bitcoin tokenisé)
Venus Protocol a immédiatement suspendu toutes les opérations de prêt et de retrait pour le token THE, et par précaution, a également suspendu les opérations de prêt et de retrait sur les marchés à forte concentration de liquidité (incluant BCH, LTC, UNI, AAVE, FIL et TWT). Les autres marchés de Venus ont continué de fonctionner normalement.
Leçons profondes sur les vulnérabilités de sécurité : la fragilité systémique des tokens à faible liquidité
Cette attaque sur Venus Protocol met en lumière plusieurs risques systémiques dans les protocoles DeFi de prêt :
- La faiblesse des oracles TWAP pour les tokens à faible liquidité, facilement influençables par de petites opérations.
- La vulnérabilité du mécanisme de plafond d’offre si la prévention par transfert direct n’est pas en place, laissant une porte ouverte à la contournement.
- La stratégie d’accumulation lente sur 9 mois, révélant un déficit potentiel dans la surveillance des comportements de détention à long terme.
Questions fréquentes
Q : Qu’est-ce que l’« attaque par plafond d’offre » de Venus Protocol ?
R : Le plafond d’offre est une mesure de sécurité conçue pour limiter la quantité maximale d’un seul actif pouvant servir de garantie. L’attaquant a contourné ce mécanisme en transférant directement dans le contrat, atteignant 3,67 fois le plafond, puis a manipulé l’oracle pour augmenter artificiellement la valeur de la garantie, empruntant ainsi plus que le montant autorisé.
Q : Pourquoi cette attaque a-t-elle pu être planifiée sur une si longue période sans être détectée ?
R : L’attaquant a utilisé une stratégie d’accumulation « lente et basse » sur 9 mois, contrôlant la position pour ne pas déclencher d’alerte, jusqu’à atteindre 84 % du plafond d’offre. Cette méthode contourne les mécanismes de surveillance basés sur des seuils, soulignant la nécessité d’une surveillance comportementale plus fine à long terme.
Q : Quelles mesures d’urgence le protocole a-t-il prises ?
R : Venus Protocol a immédiatement suspendu toutes les opérations de prêt et de retrait pour le token THE, et a également suspendu de manière préventive les fonctionnalités associées sur les marchés à forte concentration de liquidité (BCH, LTC, UNI, AAVE, FIL, TWT). Les autres marchés ont continué de fonctionner normalement. Allez Labs et ses partenaires en sécurité poursuivent l’enquête et fournissent des mises à jour.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le PDG de Vercel signale une distribution plus large de logiciels malveillants après une enquête de sécurité, des clés API ciblées
Message de Gate News, 23 avril — Le PDG de Vercel, Guillermo Rauch, a annoncé que l’entreprise a achevé une enquête de sécurité approfondie portant sur près de 1 pétaoctet de journaux complets du réseau Vercel et de l’API, allant bien au-delà de la brèche initiale du compte Context.ai.
L’enquête a révélé que
GateNewsIl y a 16m
Les piratages de crypto alimentent le débat sur la tokenisation à Wall Street
Les exploits cryptographiques de haut niveau mettent à l’épreuve les risques DeFi, même s’il est peu probable qu’ils fassent dérailler la tokenisation ; les institutions privilégient des chaînes permissionnées, tandis que la tokenisation à plus large échelle doit s’interfacer avec la DeFi ; les stablecoins font l’objet d’un examen minutieux et d’un éventuel contrecoup réglementaire.
CryptoFrontierIl y a 9h
Volo Protocol perd 3,5 M$ dans un piratage Sui, s’engage à absorber les pertes et à geler les fonds du hacker
Message de Gate News, 22 avril — Volo Protocol, un opérateur de coffre de rendement sur Sui, a annoncé hier (21 avril) qu’il a commencé à geler les actifs volés à la suite d’une exploitation de 3,5 millions de dollars. Des pirates ont dérobé WBTC, XAUm et USDG aux Volo Vaults, marquant la dernière grande brèche majeure en matière de sécurité DeFi dans un mois historiquement sévère pour le secteur.
GateNewsIl y a 12h
Famille française forcée de transférer $820K en crypto après une invasion armée du domicile
Message de Gate News, 22 avril — Une famille de Ploudalmézeau, une petite ville de Bretagne, en France, a été envahie le lundi par deux hommes armés et cagoulés (le 20 avril), selon des informations rapportées par The Block. Trois adultes ont été attachés pendant plus de trois heures et forcés de transférer environ 700 000 euros (soit environ 820 000 $) en crypto-monnaie vers des portefeuilles contrôlés par les assaillants. Les suspects ont pris la fuite en voiture ; le véhicule a ensuite été retrouvé par la police à Brest, mais aucune arrestation n’a encore été effectuée.
Cet incident s’inscrit dans une tendance plus large en France. La police judiciaire française a recensé plus de 40 enlèvements ou affaires de vol liés aux crypto-monnaies à ce jour cette année, contre environ 30 en 2025. Parmi les victimes précédentes figurent des proches d’un streamer, un dirigeant d’une grande plateforme d’échange de crypto, et une juge.
GateNewsIl y a 13h
Le DOJ lance un processus d’indemnisation pour les victimes de la fraude OneCoin, plus de 40 M$ d’actifs récupérés disponibles
Message de Gate News, le 22 avril — Le Département américain de la Justice a annoncé le lancement d’un processus d’indemnisation pour les victimes du stratagème de fraude en cryptomonnaie OneCoin, avec plus de $40 millions d’actifs récupérés désormais disponibles pour répartition.
Le stratagème, opéré entre 2014 et 2019 par Ruja
GateNewsIl y a 14h
Assignation contre les créateurs d’AI16Z et d’ELIZAOS pour des allégations de fraude de 2,6 Md$ ; chute des tokens de 99,9 % depuis le pic
Une action collective fédérale accuse AI16Z/ELIZAOS d’une fraude crypto de 2,6 Md$ via de fausses affirmations d’IA et un marketing trompeur, alléguant des favoritismes en interne et un système autonome mis en scène ; demande des dommages-intérêts au titre des lois sur la protection des consommateurs.
Résumé : Ce rapport couvre une action collective fédérale déposée dans le SDNY le 21 avril, accusant AI16Z et sa nouvelle marque ELIZAOS d’une fraude crypto de 2,6 milliards de dollars impliquant de fausses affirmations d’IA et un marketing trompeur. Le recours allègue un lien fabriqué avec Andreessen Horowitz et un système non autonome. Il détaille une valorisation maximale au début de 2025, une chute de 99,9 %, et environ 4 000 portefeuilles perdants, des initiés recevant ~40 % des nouveaux tokens. Les demandeurs réclament des dommages-intérêts et une réparation en équité en vertu des lois new-yorkaises et californiennes sur la protection des consommateurs. Des régulateurs en Corée et de grandes bourses ont averti ou suspendu le trading lié.
GateNewsIl y a 16h
