📝 Descripción General del Incidente: Ataque de Flash Loan al Protocolo Venus

El 14 de marzo de 2026, la plataforma de préstamos Venus Protocol en BNB Chain fue víctima de un sofisticado ataque de flash loan, resultando en la pérdida de más de $3.7 millones en varios activos criptográficos. El ataque se dirigió específicamente a la integración de la plataforma con el token de baja liquidez THENA (THE), lo que provocó que su precio se desplomara más del 17% en 24 horas.

El atacante, identificado por la dirección 0x1a35…6231, logró llevarse aproximadamente 20 BTCB (Bitcoin BEP2), 1.5 millones de tokens CAKE y 200 BNB.

🕵️ Cómo se Ejecutó el Ataque

Este no fue un hack simple de un solo paso. Fue un exploit cuidadosamente planificado que combinó una estrategia de acumulación a largo plazo con una compleja manipulación de precios a corto plazo utilizando flash loans. El ataque puede desglosarse en dos fases principales:

1. El Juego Largo: Acumulación de THE (Junio 2025 - Marzo 2026)
· Durante nueve meses previos al ataque, el explotador acumuló lenta y silenciosamente una posición masiva en tokens THE. Adquirieron aproximadamente el 84% del límite de suministro de THE en Venus, lo que ascendía a aproximadamente 14.5 millones de tokens.
· Esta acumulación a largo plazo preparó el terreno para el exploit principal al asegurar que tuvieran una gran base del token objetivo.

2. El Juego Corto: Flash Loan y Manipulación de Oracle
· El Flash Loan: El atacante obtuvo un flash loan masivo (un préstamo sin garantía que debe reembolsarse dentro de la misma transacción blockchain) de una stablecoin como USDC.
· Inflando el Precio de THE: Utilizaron estos fondos prestados para comprar una enorme cantidad de THE en un intercambio descentralizado como PancakeSwap. Debido a que THE tenía baja liquidez, este frenesí de compras infló artificialmente su precio de aproximadamente $0.263 a casi $0.563.
· Explotando el Oracle: Venus Protocol se basaba en un oracle TWAP (Precio Promedio Ponderado por Tiempo) para determinar los precios de los activos. La compra masiva del atacante manipuló el precio de mercado, y cuando el oracle se actualizó, reflejó este precio artificialmente alto.
· Depositando Garantía Inflada: El atacante luego eludió los límites normales de depósito transferiendo tokens THE directamente al contrato del protocolo, creando una posición de garantía de 53.2 millones de THE—casi 3.7 veces el límite permitido.
· Tomando Préstamos de Activos Reales: Con su garantía ahora valorada al precio inflado alimentado por el oracle, el atacante tomó en préstamo cantidades significativas de activos reales de alto valor de Venus: BTCB, CAKE y BNB.
· Reembolsando y Obteniendo Ganancias: Finalmente, vendieron algo del THE restante para recuperar fondos, reembolsaron el flash loan y se llevaron los activos prestados como ganancia pura. Una vez que desapareció la presión de compra artificial, el precio de THE se desplomó a aproximadamente $0.22, dejando a Venus con garantía sin valor.

⚠️ Consecuencias Inmediatas y Respuesta del Protocolo

Venus Protocol actuó rápidamente para contener el daño y prevenir futuras explotaciones:

· Mercados en Pausa: Pausaron inmediatamente todos los préstamos y retiros para THE, así como para varios otros mercados que mostraron alta concentración de liquidez (BCH, LTC, UNI, AAVE, FIL y TWT).
· Reducción de Riesgo: El Factor de Garantía (CF) para estos seis mercados, más lisUSD, se redujo a cero. Esta medida tiene como objetivo los mercados donde un solo usuario posee una parte desproporcionadamente grande de la garantía suministrada, evitando que se utilicen para préstamos adicionales.
· Investigación en Curso: El equipo ha declarado que todos los demás mercados permanecen operacionales e inalterados. Se han comprometido a publicar un informe post-mortem detallado una vez que se complete su investigación.

Este incidente se suma al historial de Venus Protocol de desafíos de seguridad, incluyendo un evento de deuda impropia de $95 millones en 2021 y pérdidas relacionadas con el colapso de Terra/LUNA y el hack del puente de BNB Chain en 2022.

Espero que este desglose detallado te sea útil. ¿Te gustaría que explique cómo funcionan los flash loans con más detalle, o que proporcione una actualización sobre la acción del precio de THENA después del evento?