Venus Protocol piraté : 3,7 millions volés via flash loan

# Venus Protocol piraté : 3,7 millions volés via flash loan

Nouveau jour, nouveau hack DeFi. Venus Protocol, la plateforme de prêt décentralisée dominante sur la BNB Chain, vient de se faire siphonner environ 3,7 millions de dollars dans une attaque par flash loan d'une sophistication remarquable.

Les détails de l'exploit révèlent une préparation de plusieurs mois.

L'attaque en détail

L'attaquant a ciblé le token THE (Thena), utilisé comme collatéral sur le Core Pool de Venus. La stratégie s'est déroulée en plusieurs étapes minutieusement planifiées.

D'abord, la phase de préparation. Depuis juin 2025, l'attaquant a lentement accumulé 84 % du supply cap de THE sur Venus, soit la quasi-totalité des 14,5 millions de tokens autorisés. Pas exactement le genre de mouvement qu'on improvise un dimanche matin.

Ensuite, l'exploitation d'une faille technique. Au lieu de déposer ses tokens via la fonction standard de la plateforme, l'attaquant les a envoyés directement au contrat Venus. Résultat : le système n'a pas appliqué correctement la limite de supply cap, permettant une position de collatéral bien plus importante que prévue.

La manipulation de prix

Avec sa position en place, l'attaquant a fait grimper le prix de THE de 0,27 $ à près de 5 $ en exploitant la faible liquidité on-chain du token. Grâce à ce prix gonflé artificiellement, il a déposé THE comme collatéral, emprunté d'autres actifs, racheté du THE, et recommencé le cycle à mesure que l'oracle de Venus mettait à jour le prix.

Le butin

Au total, l'attaquant a emprunté 6,67 millions de tokens CAKE, 1,58 million d'USDC, 2 801 BNB et 20 Bitcoin. L'analyste blockchain EmberCN estime la dette irrécupérable à environ 2,15 millions de dollars.

Venus a réagi en pausant les marchés concernés, mais le mal était fait.

Les leçons à retenir

Ce hack met en lumière plusieurs faiblesses structurelles de la DeFi. Le manque de vérification sur les dépôts directs aux contrats, la vulnérabilité des tokens à faible liquidité utilisés comme collatéral, et les limites des oracles face à des manipulations de prix ciblées.

Pour les utilisateurs de Venus Protocol et de la DeFi en général, c'est un rappel que le "code is law" ne protège que dans la mesure où le code est sans faille. Et visiblement, on n'y est pas encore.

La préparation qui aurait dû alerter

Ce qui frappe dans cette attaque, c'est la patience de l'assaillant. Neuf mois d'accumulation progressive, entre juin 2025 et mars 2026, sans que personne ne lève le drapeau rouge. 84 % du supply cap d'un token concentré dans une seule adresse, et aucune alarme automatique n'a sonné.

C'est un problème systémique. Les protocoles DeFi surveillent généralement les mouvements brusques — les gros dépôts soudains, les retraits massifs. Mais une accumulation lente, étalée sur des mois, passe sous les radars. L'attaquant le savait très bien.

Venus aurait pu implémenter un monitoring on-chain plus granulaire, capable de détecter la concentration progressive d'un collatéral. Ce n'est pas de la science-fiction, plusieurs outils existent déjà. Mais ça coûte du temps de développement et de l'argent. Tant que le hack n'arrive pas, personne ne veut payer pour la prévention.

La question des oracles

L'autre point sensible, c'est la dépendance aux oracles de prix. Venus utilise des oracles on-chain pour évaluer la valeur du collatéral. Quand un token comme THE a une liquidité limitée, il suffit de quelques transactions bien placées pour faire bouger le prix de façon spectaculaire.

Faire passer un token de 0,27 $ à 5 $, c'est une multiplication par presque vingt. Sur un actif à forte liquidité comme ETH ou BNB, ce serait impossible. Mais sur un token de niche ? C'est presque trivial si vous avez les fonds.

La question qui se pose alors est simple : faut-il accepter des tokens à faible liquidité comme collatéral ? La réponse semble évidente après coup. Mais avant le hack, THE était un token légitime avec un marché actif. Le curseur entre accessibilité et sécurité est toujours difficile à placer.

Et maintenant ?

Venus a publié un post-mortem détaillé et travaille sur des correctifs. Le protocole reste opérationnel pour les autres marchés, mais la confiance est entamée. Les dépôts totaux sur la plateforme ont baissé de 12 % dans les heures qui ont suivi l'annonce.

Pour la DeFi dans son ensemble, ce hack s'ajoute à une longue liste. Chaque incident pousse l'écosystème à mûrir, mais la facture est toujours payée par les utilisateurs.