15 de marzo de 2026: Venus Protocol, la mayor plataforma de préstamos en BNB Chain, fue víctima de un ataque de manipulación de precios meticulosamente orquestado. El atacante explotó la baja liquidez del token THE del ecosistema THENA y el retraso en el mecanismo de actualización del oráculo de Venus, creando más de 37 millones de dólares en colateral falso en cuestión de horas y dejando finalmente al protocolo con unos 2,15 millones de dólares en deuda incobrable. No fue un asalto imprudente, sino la culminación de una preparación encubierta de nueve meses y un golpe repentino.
A 16 de marzo de 2026, el token nativo de Venus, XVS price, cotizaba a 3,12 dólares, con una subida del 5,04 % en 24 horas. El sentimiento de mercado era "alcista", con una capitalización de 52,36 millones de dólares. Sin embargo, esta aparente estabilidad de precios ocultaba el impacto estructural sufrido por el protocolo subyacente. Este artículo reconstruye la lógica completa del ataque (incluyendo la cronología del evento, el análisis de datos, el sentimiento de mercado y el impacto en la industria) y examina las profundas advertencias que plantea para los modelos de gestión de riesgos en DeFi.
Resumen del evento: un exploit recursivo al oráculo
En la noche del 15 de marzo (UTC+8), el Core Pool de Venus Protocol en la BNB Chain experimentó una actividad anómala. Una dirección procedente de Tornado Cash ejecutó una serie compleja de transacciones, elevando el precio del token THE dentro del protocolo de aproximadamente 0,27 dólares a casi 5 dólares en poco tiempo. Aprovechando este precio inflado como colateral, el atacante tomó prestados grandes volúmenes de BTC, BNB, CAKE y otros activos. Cuando el precio se desplomó rápidamente, las posiciones del atacante fueron liquidadas forzosamente. Sin embargo, la caída abrupta del valor del colateral provocó que las liquidaciones no cubrieran todos los préstamos, resultando en aproximadamente 2,15 millones de dólares en deuda neta para Venus.
El gestor de riesgos de Venus, Allez Labs, intervino de inmediato y publicó un análisis preliminar en la mañana del 16 de marzo. Como respuesta de emergencia, Venus no solo pausó los préstamos y retiradas en los mercados de THE, sino que también estableció el factor de colateral en cero para otros siete mercados (BCH, LTC, UNI, AAVE, FIL, TWT y lisUSD) para evitar que riesgos similares de "concentración de colateral en un solo usuario" se repitieran en otros activos.
Antecedentes y cronología: de la acumulación lenta a la detonación repentina
Este ataque no ocurrió de la noche a la mañana, sino que se desarrolló en cuatro fases distintas a lo largo de nueve meses.
Fase 1: Acumulación (junio 2025 – marzo 2026)
Desde junio de 2025, el atacante fue depositando lentamente tokens THE en Venus en cantidades pequeñas y dispersas. Este enfoque de "rana hervida" eludió los controles de riesgo convencionales. En la víspera del ataque, la dirección poseía el 84 % del límite de suministro de THE en Venus (unos 14,5 millones de THE).
Fase 2: Preparación de fondos (15 de marzo)
Antes de lanzar el ataque, la dirección 0x7a7…234 recibió 7 400 ETH de Tornado Cash como fondos operativos. Posteriormente, utilizó este ETH como colateral en Aave, tomando prestados aproximadamente 9,92 millones de dólares en stablecoins (USDT, DAI, USDC). Estos fondos se distribuyeron entre varias carteras y se emplearon para acumular tokens THE en cadena, preparando así la "munición" para la inminente subida de precios.
Fase 3: Ejecución del ataque (alrededor de las 20:00, 15 de marzo)
Utilizando dos carteras, el atacante depositó grandes cantidades de THE en Venus. De forma crucial, para eludir el límite de suministro de Venus, no utilizó el proceso estándar de minteo, sino que transfirió directamente los tokens THE a la dirección del contrato vTHE. Este método de "donación" infló directamente la tasa de intercambio interna, generando colateral masivo de la nada dentro del protocolo.
A continuación, el atacante inició un bucle recursivo:
- Utilizó el THE inflado como colateral para pedir prestados BTCB, CAKE, BNB y otros activos.
- Con los activos prestados, compró más THE en pools de liquidez extremadamente reducida, impulsando aún más el precio spot de THE.
- Esperó a que el oráculo TWAP (precio promedio ponderado por tiempo) de Venus se actualizara, reflejando el precio spot artificialmente alto como valor colateral en cadena.
Con cada iteración, el valor colateral de THE en Venus se disparaba. En su punto máximo, el atacante utilizó unos 53,2 millones de THE como colateral para pedir prestados 6,67 millones de CAKE, 2 801 BNB, 1 970 WBNB, 1,58 millones de USDC y 20 BTCB.
Fase 4: Liquidación y colapso (alrededor de las 20:40, 15 de marzo)
Al cesar las compras del atacante, entró presión vendedora natural. El precio de THE se desplomó, el health factor del atacante en Venus se deterioró rápidamente y se activaron liquidaciones masivas. Pero, al agotarse la liquidez de THE, las propias liquidaciones aceleraron la caída, generando un efecto espiral. El precio retrocedió hasta 0,24 dólares, por debajo del nivel previo al ataque. Tras las liquidaciones, unos 2,15 millones de dólares en préstamos (incluyendo 1,18 millones de CAKE y 1,84 millones de THE) quedaron sin repagar, convirtiéndose en deuda incobrable para el protocolo Venus.
Análisis de datos y estructura: el modelo de ataque detrás de los números
Comprender el éxito de este ataque requiere desglosar sus datos clave y los mecanismos explotados.
| Dimensión de análisis | Datos clave | Explicación del mecanismo |
|---|---|---|
| Eficiencia de capital | Fondos iniciales: 7 400 ETH (~9,92 M$ en stablecoins) Activos prestados: ~5,07 M$ | En cadena, el atacante parece haber perdido dinero, pero el beneficio real probablemente provino de posiciones cortas en derivados CEX. |
| Manipulación de colateral | Acumulado: 84 % del límite de THE (~14,5 M) Posición máxima: 53,2 M THE (3,67 veces el límite) | Eludir el límite de suministro mediante transferencias directas al contrato fue la clave técnica para amplificar el ataque. |
| Volatilidad de precios | Precio inicial: ~0,27 $ Pico manipulado: ~0,53 $ (tras actualización del oráculo) Tras el colapso: ~0,24 $ | El atacante solo elevó el precio del oráculo un 96 %, pero fue suficiente para apalancar millones en activos. |
| Deuda incobrable final | ~2,15 M$ | Aunque menor que el máximo histórico de Venus (p. ej., 95 M$ en el incidente de XVS), expuso un punto ciego en los controles de riesgo. |
El atacante eludió las restricciones de suministro a nivel de código mediante un ataque de donación. El retraso en la actualización del oráculo TWAP se convirtió en un punto de apalancamiento, no en una defensa.
Análisis del sentimiento de mercado: pérdidas en cadena y ganancias fuera de ella
Tras el incidente, los analistas on-chain y la comunidad coincidieron en la naturaleza del ataque, pero debatieron sobre el beneficio o pérdida real del atacante.
Visión mayoritaria: manipulación clásica de precios y ataque al oráculo
Varios analistas, como EmberCN y Weilin Li, señalaron que se trató de una repetición exitosa del método de ataque al oráculo visto en el incidente de Mango Markets en 2022. El atacante aprovechó la contradicción entre activos de baja liquidez y la frecuencia de actualización de los oráculos de los protocolos de préstamo. Weilin Li observó que, según el análisis on-chain, el atacante "apenas ganó dinero" e incluso pudo haber perdido fondos.
Debate: el verdadero modelo de beneficio del atacante
Surgió una cuestión central: ¿por qué el atacante preparó 9,92 millones de dólares en capital si solo tomó prestados 5,07 millones en cadena?
Teoría de pérdida en cadena: el análisis preliminar de EmberCN sugiere que el atacante perdió dinero en cadena, ya que el valor de los activos prestados fue inferior al coste de su capital. El motivo podría ser el sabotaje o la experimentación técnica.
Teoría de beneficio fuera de cadena: actualmente, es la hipótesis más convincente. Probablemente, el atacante abrió grandes posiciones cortas en tokens THE en exchanges centralizados (CEX) con antelación. Al provocar el colapso del precio mediante acciones en cadena, sus posiciones cortas en CEX generaron enormes beneficios, compensando totalmente el "coste" en cadena y resultando en ganancias netas.
La verdadera intención del atacante fue "utilizar acciones en cadena para lucrarse fuera de ella". Las vulnerabilidades de los mercados de préstamos on-chain se convirtieron en herramientas para obtener beneficios en mercados externos. Este modelo de ataque de "arbitraje entre mercados" representa una amenaza de reducción de dimensión para los sistemas de gestión de riesgos que solo consideran datos en cadena.
Examinando el relato: explicaciones oficiales frente a dudas de la comunidad
Venus y su gestor de riesgos, Allez Labs, respondieron rápidamente con análisis, pero algunos aspectos de su relato merecen un examen más detallado.
Verificación 1: ¿Es el "ataque de donación" realmente una vulnerabilidad nueva?
El análisis de Venus señaló que el atacante eludió el límite de suministro transfiriendo tokens directamente al contrato. Sin embargo, según revisiones de la comunidad de seguridad, este vector de "ataque de donación" ya había sido mencionado en una auditoría previa de Code4rena sobre Venus. En aquel momento, el equipo lo consideró "un comportamiento soportado sin efectos negativos". Esto sugiere que la vulnerabilidad no era desconocida, sino que fue descartada subjetivamente.
Verificación 2: ¿Poner el factor de colateral a cero fue preventivo o reactivo?
Venus estableció el factor de colateral en cero para siete mercados, describiéndolo oficialmente como una medida preventiva ante la "sobreconcentración de colateral por un solo usuario". Sin embargo, las reacciones del mercado indican que fue más bien una cuarentena de emergencia. Aunque estos mercados (por ejemplo, BCH, LTC, AAVE) tienen buena liquidez por sí mismos, la distribución de colateral en Venus era muy concentrada, lo que los convertía en objetivos fáciles para manipulaciones similares de bajo coste. La medida fue eficaz, pero también expuso el retraso del protocolo en la gestión diversificada de colateral.
Impacto en la industria: repensando la gestión de riesgos en DeFi
Aunque el incidente afectó solo a Venus, sus repercusiones se han extendido por todo el sector DeFi.
Repensar la seguridad de los oráculos
Los oráculos TWAP se consideraban más seguros que los precios spot, ya que podían resistir manipulaciones con flash loans. Sin embargo, este caso demuestra que, cuando los atacantes están dispuestos a pasar meses acumulando posiciones y usan tácticas de "donación" para escalar, el retraso del TWAP se convierte en una ventana de oportunidad para ataques apalancados. La seguridad del oráculo no puede depender solo del ponderado temporal: debe combinarse con comprobaciones de profundidad de liquidez y monitorización de mercado en tiempo real.
Impacto en los modelos de colateral
La visión de que "cualquier activo puede servir como colateral" ha recibido un baño de realidad. Los activos de baja liquidez y alta concentración—even con capitalizaciones relevantes—son intrínsecamente susceptibles a la manipulación. En adelante, los protocolos de préstamo evaluarán con mayor rigor el "índice de manipulabilidad" del colateral, considerando la liquidez on-chain, la concentración de holders y la profundidad global del mercado del proyecto.
Gobernanza bajo escrutinio
Riesgos identificados claramente en auditorías fueron desestimados por el criterio subjetivo del equipo, derivando en pérdidas. Esto recuerda que las auditorías de código son solo el punto de partida: la evaluación continua de riesgos y el respeto por los vectores de ataque conocidos son esenciales para la seguridad del protocolo. Que el precio de Venus (XVS) subiera un 5,04 % en 24 horas tras el incidente puede reflejar la aprobación del mercado a la respuesta rápida de Venus, pero también podría ocultar malentendidos sobre la capacidad de gestión de riesgos a largo plazo del protocolo.
Análisis de escenarios: posibles evoluciones
Según los hechos actuales y la lógica inferida, el incidente podría evolucionar en tres direcciones:
Escenario 1: estabilización a corto plazo
Venus ya ha aislado los mercados de riesgo y ha prometido un informe completo post-mortem. Mientras los pools principales de préstamos (BTC, ETH, BNB) permanezcan intactos, el protocolo debería poder restaurar la confianza del mercado a corto plazo. La deuda incobrable podría cubrirse con reservas del protocolo o propuestas de gobernanza, evitando una crisis sistémica.
Escenario 2: mejoras regulatorias y de auditoría a medio plazo
Este incidente servirá como caso de estudio para reguladores y firmas de auditoría. En el futuro, las auditorías de protocolos DeFi deberán incluir pruebas para vectores de ataque de "acumulación prolongada + elusión por donación". La colaboración en seguridad entre protocolos se intensificará y probablemente se establecerán mecanismos de intercambio de información.
Escenario 3: paradigma de ataque a largo plazo
Si el modelo de "pérdida en cadena, beneficio fuera de cadena" se confirma viable, este tipo de ataques podría convertirse en la nueva norma. Los atacantes ya no buscarán beneficios directos de los tesoros de los protocolos, sino que usarán vulnerabilidades como "interruptores" para manipular precios y obtener retornos desproporcionados en mercados de derivados. Esto dificultará aún más la defensa, ya que los datos on-chain dejarán de ser el único indicador de rentabilidad para los atacantes.
Conclusión
La experiencia de Venus es un capítulo más en la evolución de la seguridad DeFi. No es ni el primer ni el último ataque al oráculo. Desde la manipulación del precio de XVS en 2021, pasando por el colapso de LUNA en 2022, hasta esta caza de nueve meses por tokens THE, la historia de Venus es un manual vivo sobre gestión de riesgos en DeFi.
La verdadera seguridad no consiste en no cometer errores, sino en construir defensas más sólidas tras cada lección aprendida. A medida que los atacantes planifican a años vista y calculan beneficios entre mercados, los defensores deben mirar más allá del código y adoptar una perspectiva más amplia y de teoría de juegos sobre la seguridad de los protocolos. Para los usuarios, comprender la sencilla verdad de que "todo rendimiento conlleva riesgo" puede ser más importante que perseguir la próxima granja de alto retorno.
