Das Venus Protocol, ein dezentrales Kreditprotokoll auf der BNB Chain-Blockchain, wurde Opfer eines Angriffs, der mit der Überschreitung des Angebotslimits des THE-Tokens des Thena-Projekts zusammenhing. Infolgedessen wurden mehrere Märkte der Plattform vorübergehend ausgesetzt. Der anfängliche Schaden wird von Projektvertretern auf über 2 Millionen US-Dollar geschätzt.
Aufgrund der hohen Liquiditätskonzentration wurden die Märkte für BCH, LTC, UNI, AAVE, FIL und TWT ebenfalls ausgesetzt. Die übrigen Venus-Märkte funktionieren weiterhin wie gewohnt, stellten die Entwickler klar.
Laut Sicherheitsforschern hatte der Angreifer den Angriff mehrere Monate lang vorbereitet. Ab Juni 2025 sammelte der unbekannte Akteur schrittweise THE-Token an und erreichte schließlich etwa 84 % des Angebotslimits – 14,5 Millionen Token.
Anstatt des üblichen Einzahlungsmechanismus sendete der Hacker die Token direkt an das Protokoll und umging so die Standardprüfungen. Dadurch konnte er das festgelegte Limit deutlich überschreiten. Auf seiner Adresse befanden sich schließlich 53,2 Millionen THE – etwa das 3,5-Fache des zulässigen Betrags.
Am Sonntag, dem Tag des Angriffs, wurden 12,2 Millionen THE in das Protokoll eingezahlt, was etwa 84 % des festgelegten Limits entsprach. Anderthalb Stunden später, kurz vor der Liquidation der Position, erreichte das Volumen 53,2 Millionen Token – etwa 367 % des Limits.
Nachdem der Angreifer eine große Menge an Sicherheiten angehäuft hatte, nutzte er die geringe Marktliquidität aus und wiederholte denselben Transaktionszyklus mehrfach. Zuerst hinterlegte er THE-Token, lieh sich dann andere Vermögenswerte, kaufte weitere THE-Token, wartete auf die Aktualisierung der Oracle-Daten und wiederholte die Transaktion.
Infolgedessen stieg der Preis von THE von 0,27 $ auf 0,53 $. Die nominellen Sicherheiten für die Transaktion beliefen sich auf rund 30 Millionen $, jedoch war keine Liquidität vorhanden, um diesen Betrag zu verkaufen. Nach der Zwangsliquidation fiel der Tokenpreis auf 0,24 $.
Auf dem Höhepunkt des Angriffs verfügte der Angreifer über 6,67 Millionen CAKE, 2801 BNB, 1970 WBNB, 1,58 Millionen USDC und 20 BTCB.
Laut On-Chain-Analyst Weilin Li dürfte der Angreifer aufgrund des anschließenden Token-Kursverfalls kaum Gewinn erzielt und möglicherweise sogar Verluste innerhalb des Protokolls erlitten haben. Der Experte vermutet, dass der Angreifer seine Position durch Perpetual Futures auf Drittanbieterplattformen abgesichert und von diesen Transaktionen profitiert hat.
Vor einigen Tagen hob ein anderer Angreifer über 4 Millionen Dollar von einer Blockchain-Gaming-Plattform ab, verlor aber fast das gesamte Geld aufgrund erfolgloser Ethereum-Transaktionen.