Compra criptomonedas
Pagar con
USD
USD
Compra y venta
Hot
Acepta Visa, Mastercard, SEPA y más
P2P
0 Fees
Trading flexible y sin tarifas
Gate Card
Paga con tus cripto en todo el mundo
Mercados
Operar
Básico
Avanzado
Futuros
Contrato
Accede a cientos de contratos perpetuos
CFD
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Earn
Lanzamiento
CandyDrop
tag
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Square
Square
Descubra el valor en criptomonedas
En vivo
moments live
Análisis del mercado de criptomonedas en tiempo real
Chat
Chatea con traders de criptomonedas
Noticias
Lo que está ocurriendo en el mundo de las criptomonedas
flower_head
Más
Promociones
AI
Otros
TradFi
WCTC S8
Recompensas

El protocolo Venus sufrió un ataque por límite de suministro, con pérdidas de 3,7 millones de dólares.

MarketWhisper
Incidentes de seguridadDatos on-chain
THE-0,82%
CAKE-2,43%
BNB-0,83%
USDC-0,01%

Venus Protocol遭攻擊

La plataforma de préstamos descentralizada Venus Protocol anunció el domingo que detectó actividades de transacción anómalas en el fondo de tokens Thena (THE) en su pool principal. Según la última investigación de Allez Labs, socio en gestión de riesgos de Venus, este incidente fue un ataque cuidadosamente planificado de manipulación del límite de suministro, que duró aproximadamente 9 meses desde la planificación hasta la ejecución, resultando en una pérdida superior a 3.7 millones de dólares.

Análisis completo del proceso del ataque: una estrategia en cuatro fases cuidadosamente diseñada

La investigación de Allez Labs revela la lógica operativa completa del ataque, que se divide en cuatro etapas clave:

Primera etapa: acumulación lenta de tokens durante 9 meses. Desde junio de 2025, los atacantes acumularon lentamente tokens THE, alcanzando finalmente el 84% del límite de suministro, aproximadamente 14.5 millones de tokens. Esta estrategia de acumulación gradual evitó activar las alertas de riesgo de la plataforma.

Segunda etapa: transferencia directa para eludir el límite de suministro. Los atacantes no usaron el proceso normal de depósito, sino que transfirieron directamente los tokens al contrato del protocolo, evadiendo completamente el mecanismo de límite de suministro, y finalmente establecieron una posición de 53.2 millones de tokens THE, lo que equivale a 3.67 veces el límite de suministro.

Tercera etapa: manipulación del oráculo TWAP. Aprovechando la estructura de liquidez extremadamente baja de THE en la cadena, los atacantes manipularon el oráculo TWAP (precio medio ponderado en el tiempo) mediante operaciones recursivas, elevando el precio de THE de aproximadamente 0.27 dólares a unos 0.53 dólares.

Cuarta etapa: uso de colaterales inflados para préstamos masivos. Con la valoración artificialmente elevada de los colaterales, los atacantes usaron los 53.2 millones de tokens THE como garantía para tomar prestados diversos activos con alta liquidez.

Detalles de los activos robados y medidas de respuesta de emergencia de la plataforma

Los activos que los atacantes tomaron en préstamo en el pico del ataque incluyen:

  • 6,670,000 tokens CAKE (token nativo de PancakeSwap)
  • 2,801 BNB (token nativo de BNB Chain)
  • 1,970 WBNB
  • 1,580,000 USDC
  • 20 BTCB (Bitcoin tokenizado)

Venus Protocol suspendió inmediatamente todos los préstamos y retiros de tokens THE, y por precaución, también suspendió las funciones de préstamo y retiro en mercados con alta concentración de liquidez en la cadena, incluyendo BCH, LTC, UNI, AAVE, FIL y TWT. Otros mercados de Venus continuaron operando normalmente.

Lecciones profundas sobre vulnerabilidades de seguridad: la fragilidad sistémica de tokens con baja liquidez

Este ataque a Venus Protocol revela varios riesgos sistémicos en los protocolos DeFi de préstamos: los oráculos TWAP de tokens con baja liquidez son muy susceptibles a influencias de pequeñas operaciones; si el mecanismo de límite de suministro no previene transferencias directas por contrato, puede existir una vulnerabilidad técnica que lo permita; además, la estrategia de acumulación lenta de 9 meses expone posibles puntos ciegos en la monitorización de comportamientos a largo plazo del protocolo.

Preguntas frecuentes

¿Qué es el “ataque por límite de suministro” en Venus Protocol?
El límite de suministro es un mecanismo de seguridad diseñado para restringir la cantidad máxima de un activo que puede usarse como colateral. En este caso, los atacantes eludieron este mecanismo transfiriendo tokens directamente al contrato, alcanzando 3.67 veces el límite de suministro, y luego manipularon el oráculo para inflar el valor del colateral, permitiendo préstamos por encima del límite autorizado.

¿Por qué el ataque pudo planearse durante tanto tiempo sin ser detectado?
Los atacantes usaron una estrategia de acumulación “low and slow” (lenta y gradual) de 9 meses, controlando la cantidad de tokens para no activar alertas, hasta que alcanzaron el 84% del límite de suministro y ejecutaron el ataque. Este método es una forma común de evadir mecanismos de monitoreo basados en umbrales, evidenciando la necesidad de una monitorización más fina del comportamiento a largo plazo del protocolo.

¿Qué medidas de emergencia tomó Venus Protocol?
Venus Protocol suspendió inmediatamente todas las funciones de préstamo y retiro de tokens THE, y también detuvo preventivamente las funciones en mercados con alta concentración de liquidez como BCH, LTC, UNI, AAVE, FIL y TWT. Otros mercados continuaron operando normalmente. Allez Labs y sus socios de seguridad continúan investigando y actualizando los avances.

Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el Aviso legal.

Artículos relacionados

El CEO de Project Eleven advierte que 2,3 billones de dólares en Bitcoin están en riesgo por los ordenadores cuánticos

bitcoin newsIncidentes de seguridad

En la conferencia Consensus en Miami, Alex Pruden, CEO de Project Eleven, advirtió que aproximadamente 2,3 billones de dólares en Bitcoin está expuesto a amenazas de la computación cuántica, y pidió a los desarrolladores que adopten firmas de criptografía poscuántica con antelación. Pruden subrayó que la transición de Bitcoin a cuántico-re

GateNewshace2h

El proveedor de liquidez de 1inch, TrustedVolumes, sufre un hack: 6,7 millones de dólares fueron robados, el antiguo atacante vuelve a aparecer

Incidentes de seguridad

1inch proveedor de liquidez TrustedVolumes fue hackeado el 7 de mayo, con una pérdida de alrededor de 6,7 millones de dólares. El atacante se registró como «firmante de pedidos autorizados» a través de una función pública de su propio contrato de agente de RFQ, y usó aprobaciones de tokens existentes para transferir fondos desde las carteras de los usuarios, sin afectar los contratos principales de 1inch ni los fondos de los usuarios. Se recomienda a los usuarios de DeFi revocar periódicamente las aprobaciones de tokens que ya no utilicen.

ChainNewsAbmediahace3h

Aave reescribe los estándares de listado de activos tras el exploit de $293M KelpDAO, añadiendo revisiones de seguridad

Avance del proyectoRegulación y políticaIncidentes de seguridad

Según CoinDesk, Aave Labs anunció el 7 de mayo que reescribirá los estándares de listado de activos y de riesgo de colateral para incorporar revisiones de la interoperabilidad, la ciberseguridad y la arquitectura subyacente, más allá de las evaluaciones existentes de precio y volatilidad. La reestructuración se produce tras un ataque en abril a cros de KelpDAO

GateNewshace4h

$20M La víctima de una estafa de “pig butchering” presenta una demanda contra Citibank

Acciones de ejecuciónIncidentes de seguridad

Michael Zidell demanda a Citibank en un tribunal federal de Manhattan por $20M en transferencias de pig butchering, alegando negligencia en la AML y alertas ignoradas. Resumen: El artículo describe la demanda de Michael Zidell contra Citibank en un tribunal federal de Manhattan, alegando que los controles AML negligentes permitieron que 20 millones de dólares fueran enviados a estafadores de pig butchering a través de cuentas vinculadas a Carolyn Parker y Guju Inc. Presenta el caso en medio del aumento de estafas cripto y vulnerabilidades sistémicas de AML entre fiat y cripto.

TodayqNewshace7h

Los hackeos de criptomonedas en agosto de 2025 costaron $163M en 16 incidentes: PeckShield

Incidentes de seguridadInformes del sector

Este año, en agosto, el mercado cripto perdió 163 millones de dólares en 16 hackeos importantes; el mayor monto perdido fue de 91,4 millones de dólares por una entidad individual, y BtcTurk perdió 54 millones. Las pérdidas en agosto de 2025 son un 15% mayores que el monto perdido en julio de este año, que fue de 142,16 millones de dólares; en junio, la pérdida colectiva

TodayqNewshace7h
Comentar
0/400
Sin comentarios