Um ataque sofisticado atingiu o Venus Protocol e deixou um rombo de US$ 2,15 milhões, conforme relatado pelo próprio protocolo nesta segunda-feira (16). O agressor não usou um flash loan, os oráculos não falharam e o módulo mais recente, o Venux Flux, permaneceu intacto. Em vez disso, o invasor acumulou lentamente um token de baixa liquidez e explorou uma vulnerabilidade de lógica no contrato, aproveitando a transferência direta de tokens para o contrato do protocolo para contornar limites internos.
O post-mortem do ataque descreve uma operação planejada e técnica: o atacante levou nove meses para montar a posição em THE e, em seguida, instalou um mecanismo repetitivo que ampliou artificialmente o poder de empréstimo. A equipe do Venus classificou o incidente como um bug de código — uma falha que já havia sido identificada em um relatório de auditoria de 2026, mas que não foi corrigida a tempo. O resultado foi dívida inadimplente dentro do protocolo e a consequente necessidade de medidas emergenciais.
O mecanismo do ataque
Segundo a análise divulgada pelo Venus, o atacante executou um loop recursivo composto por passos repetidos: tomar empréstimos em ativos, trocar esses ativos por THE para inflacionar seu preço, transferir THE diretamente para o contrato vTHE para elevar a taxa de câmbio e então repetir o ciclo. Cada iteração aumentava o montante passível de ser emprestado, criando uma bolha artificial de garantia que sustentava novas dívidas até a liquidação parcial ou total. Esse processo converteu a acumulação prévia do token em alavancagem capaz de drenar fundos do protocolo.
Detalhes técnicos
A operação explorou especificamente a possibilidade de contornar o limite de oferta ao transferir tokens diretamente ao contrato do protocolo, sem passar pelas rotinas de atualização de contabilização esperadas. O atacante construiu uma posição dominante de oferta em THE ao longo de nove meses e, ao interagir diretamente com o contrato vTHE, inflou a taxa de conversão de forma que o protocolo passou a reconhecer garantia com valor artificialmente elevado. O efeito cascata culminou na geração de dívida inadimplente e na perda final de US$ 2,15 milhões.
Financiamento do ataque e vestígios on-chain
Pesquisas on-chain compartilhadas por entidades como a Allez Labs e também divulgadas pela comunidade (incluindo Aave) mostram que o ataque foi financiado com 7.447 ETH enviados em 77 transações por meio do mixer Tornado Cash. Esse montante foi avaliado em cerca de R$ 90 milhões na cotação referida pelos analistas. A utilização do mixer dificultou a rastreabilidade inicial, mas a sequência de transferências e trocas deixou um rastro suficiente para mapear o fluxo de capital até o protocolo comprometido.
Vetor conhecido e auditoria anterior
A investigação destaca que o vetor explorado já havia sido levantado em uma auditoria feita pela Code4rena em 2026, porém a recomendação não havia sido implementada. Essa lacuna entre auditoria e correção prática ilustra um problema recorrente em projetos descentralizados: achados técnicos relatados publicamente nem sempre são priorizados para patch imediato, abrindo janela para exploradores capitalizarem sobre a vulnerabilidade.
Resposta do Venus e efeitos no mercado
Como precaução, o Venus Protocol pausou o mercado de empréstimos de THE e outros oito ativos, incluindo BCH, LTC, AAVE, POL, FIL, TWT, UNI e lisUSD. A equipe afirmou que trabalha na correção do bug e que está avaliando a implementação de mecanismos on-chain de monitoramento de risco que possam detectar padrões anômalos de acumulação e acionar revisões no nível de governança, sem comprometer os princípios permissionless do protocolo. Apesar do choque, o token nativo XVS apresentou valorização recente de 3,7% nas últimas 24 horas e 17% na última semana.
Lições e próximos passos
O caso reforça duas lições claras: a urgência de aplicar correções reportadas por auditorias e a necessidade de ferramentas automáticas de detecção de acúmulos atípicos. O Venus anunciou que seus desenvolvedores já trabalham em um patch e em medidas de governança para reduzir a janela de exposição a vetores semelhantes. Para a comunidade, o episódio é um lembrete da importância de acompanhar relatórios de auditoria e de considerar mecanismos de proteção adicionais em protocolos de empréstimo.
