Nelle ultime ore l’exploit di Venus ha evidenziato le vulnerabilità dei mercati DeFi su BNB Chain, con ripercussioni sul token di governance XVS e sull’ecosistema più ampio.
Dettagli sull’exploit e impatto immediato su XVS
Il protocollo di lending Venus è stato colpito da un exploit il 16 marzo, che ha generato circa 2,15 milioni di dollari di debito inesigibile e un calo di oltre 9% del valore del token di governance XVS nelle 24 ore successive.
Il protocollo, attivo su BNB Chain e con oltre 1,4 miliardi di dollari di total value locked, ha visto la pressione in vendita sul token XVS intensificarsi soltanto dopo che l’analisi on-chain ha evidenziato movimenti rilevanti verso gli exchange da parte di grandi detentori, inclusi wallet collegati a Justin Sun.
Nel frattempo, il ribasso si è inserito in un contesto di più ampia avversione al rischio: l’indice CoinDesk 20 ha perso circa 4,6% nello stesso arco temporale, indicando una correzione generalizzata sugli asset digitali.
Come è avvenuta l’exploit di Venus sul mercato di Thena
L’attacco ha colpito il mercato di Thena all’interno del protocollo. Secondo Venus, l’aggressore ha speso circa nove mesi ad accumulare una posizione significativa nel token THE di Thena, utilizzando come fonte di capitale circa 7.400 ETH prelevati dal mixer Tornado Cash, come riportato dalla società di analisi PeckShield.
Successivamente, l’attaccante ha donato più di 36 milioni di token THE direttamente al contratto vTHE. Questa operazione ha aggirato i normali controlli sui limiti e ha fatto aumentare il tasso di cambio del mercato di circa 3,8 volte, creando un valore contabile gonfiato.
Con questo valore teorico più elevato, l’aggressore ha usato THE come collaterale per prendere in prestito altri asset dal protocollo. Inoltre, ha continuato a comprare THE in un mercato caratterizzato da liquidità ridotta, amplificando l’effetto sui prezzi.
Movimento dei prezzi di THE e realizzazione del profitto
Le acquisizioni hanno spinto il prezzo di THE da circa 0,26 dollari fino a quasi 0,56 dollari. Venus ha precisato che non si è trattato di un attacco tramite flash loan, che gli oracoli di prezzo hanno continuato a funzionare correttamente e che il modulo Venus Flux non è stato interessato.
Tuttavia, quando l’attaccante ha iniziato a vendere THE, il prezzo è sceso di oltre 17% in meno di un giorno, innescando una serie di liquidazioni. Le analisi stimano che il valore estratto prima delle liquidazioni sia compreso tra 3,7 milioni e 5,8 milioni di dollari, sotto forma di asset come bitcoin tokenizzato, BNB e stablecoin.
Nel complesso, il danno diretto si è concentrato in gran parte sul token THE e, in misura minore, su CAKE. Venus ha sottolineato che non risultano perdite di fondi degli utenti al di fuori dei pool coinvolti.
Risposta del protocollo Venus e misure di mitigazione
In risposta all’incidente, il protocollo ha sospeso i nuovi prestiti e i prelievi relativi a THE, ha azzerato il valore di collaterale attribuito al token e ha inasprito i parametri di rischio su altri mercati considerati potenzialmente vulnerabili.
I mercati segnalati come a rischio includono quelli per BCH, LTC, AAVE e altri asset. Inoltre, Venus ha dichiarato che la falla nel codice che ha consentito di bypassare i controlli di cap nel contratto vTHE è in fase di correzione, per evitare un utilizzo analogo in futuro.
Detto ciò, il protocollo ha spiegato che l’indirizzo dell’attaccante era già stato segnalato dalla community prima dell’incidente. Venus non era però intervenuta, in quanto non risultavano violazioni delle regole o exploit effettivi al momento della segnalazione.
Decentralizzazione, governance e copertura delle perdite
La vicenda ha riacceso il dibattito sulla natura permissionless dei protocolli DeFi. Venus ha ricordato che, in quanto protocollo decentralizzato, non può né dovrebbe congelare o inserire in blacklist indirizzi soltanto sulla base di sospetti, evidenziando la tensione strutturale tra sicurezza e apertura.
La governance della piattaforma dovrà ora decidere come coprire il debito inesigibile di circa 2,15 milioni di dollari, valutando l’utilizzo del fondo di rischio del protocollo. Questa fase sarà cruciale per misurare la resilienza del modello di gestione del rischio e la capacità di assorbire eventi estremi.
Inoltre, l’episodio rappresenta un nuovo caso di studio per gli operatori DeFi, che dovranno confrontarsi con le dinamiche di accumulo lento di posizioni, manipolazione dei tassi interni e sfruttamento di lacune nei controlli di sicurezza dei mercati collateralizzati.