15 mars 2026 : Venus Protocol, la plus grande plateforme de prêt sur BNB Chain, a été victime d’une attaque de manipulation de prix soigneusement orchestrée. L’assaillant a exploité la faible liquidité du jeton THE de l’écosystème THENA et le décalage de mise à jour de l’oracle de Venus, générant plus de 37 millions de dollars de faux collatéraux en quelques heures et laissant finalement le protocole avec environ 2,15 millions de dollars de créances irrécouvrables. Il ne s’agissait pas d’un assaut irréfléchi, mais de l’aboutissement d’une préparation clandestine de neuf mois suivie d’une frappe soudaine.
Au 16 mars 2026, le jeton natif de Venus, XVS, affichait un prix de 3,12 $, en hausse de 5,04 % sur 24 heures. Le sentiment de marché était qualifié de « haussier », avec une capitalisation de 52,36 millions de dollars. Cependant, cette stabilité apparente masquait le choc structurel subi par le protocole sous-jacent. Cet article reconstitue la logique complète de l’attaque — chronologie, analyse des données, sentiment de marché et impact sectoriel — et examine les avertissements majeurs qu’elle adresse aux modèles de gestion des risques DeFi.
Aperçu de l’incident : une exploitation récursive de l’oracle
Dans la soirée du 15 mars (UTC+8), le Core Pool de Venus Protocol sur la BNB Chain a enregistré une activité anormale. Une adresse issue de Tornado Cash a mené une série complexe de transactions, faisant passer le prix du jeton THE dans le protocole d’environ 0,27 $ à près de 5 $ en peu de temps. Utilisant ce prix gonflé comme collatéral, l’attaquant a emprunté d’importantes quantités de BTC, BNB, CAKE et d’autres actifs. Lorsque le prix s’est effondré, les positions de l’assaillant ont été liquidées de force. Cependant, la chute brutale de la valeur du collatéral n’a pas permis de couvrir l’ensemble des prêts, générant environ 2,15 millions de dollars de créances irrécouvrables pour Venus.
Le gestionnaire des risques de Venus, Allez Labs, est intervenu immédiatement et a publié une première analyse dans la matinée du 16 mars. En réponse d’urgence, Venus a non seulement suspendu les emprunts et retraits sur les marchés THE, mais a également fixé le facteur de collatéral à zéro pour sept autres marchés — BCH, LTC, UNI, AAVE, FIL, TWT et lisUSD — afin de prévenir la réapparition de risques similaires de « concentration du collatéral par un seul utilisateur ».
Contexte et chronologie : d’une accumulation lente à une détonation soudaine
Cette attaque ne s’est pas produite du jour au lendemain, mais s’est déroulée en quatre phases distinctes sur neuf mois.
Phase 1 : Accumulation (juin 2025 – mars 2026)
Dès juin 2025, l’attaquant a commencé à déposer lentement des jetons THE sur Venus en petites quantités dispersées. Cette approche de la « grenouille ébouillantée » a permis d’échapper aux contrôles de risque classiques. À la veille de l’attaque, l’adresse détenait 84 % du plafond d’approvisionnement de THE sur Venus, soit environ 14,5 millions de THE.
Phase 2 : Préparation des fonds (15 mars)
Avant de lancer l’attaque, l’adresse 0x7a7…234 a reçu 7 400 ETH de Tornado Cash pour constituer sa trésorerie opérationnelle. Elle a ensuite utilisé ces ETH comme collatéral sur Aave, empruntant environ 9,92 millions de dollars en stablecoins (USDT, DAI, USDC). Ces fonds ont été répartis sur plusieurs portefeuilles et utilisés pour accumuler des jetons THE on-chain, constituant ainsi le « stock de munitions » pour la hausse à venir.
Phase 3 : Déclenchement de l’attaque (vers 20h00, 15 mars)
À l’aide de deux portefeuilles, l’attaquant a déposé d’importantes quantités de THE sur Venus. Point crucial : pour contourner le plafond d’approvisionnement de Venus, il n’a pas utilisé le processus de mint classique, mais a transféré directement les jetons THE à l’adresse du contrat vTHE. Cette méthode dite de « donation attack » a gonflé artificiellement le taux de change interne, créant ainsi du collatéral massif ex nihilo au sein du protocole.
L’attaquant a ensuite enclenché une boucle récursive :
- Utilisation du THE gonflé comme collatéral pour emprunter BTCB, CAKE, BNB et autres actifs.
- Utilisation des actifs empruntés pour acheter davantage de THE dans des pools extrêmement illiquides, faisant grimper encore le prix spot du THE.
- Attente de la mise à jour de l’oracle TWAP (prix moyen pondéré dans le temps) de Venus, afin que le prix spot artificiellement élevé soit pris en compte comme valeur de collatéral on-chain.
À chaque itération, la valeur du collatéral THE sur Venus s’est envolée. Au plus haut, l’attaquant a utilisé environ 53,2 millions de THE comme collatéral pour emprunter 6,67 millions de CAKE, 2 801 BNB, 1 970 WBNB, 1,58 million d’USDC et 20 BTCB.
Phase 4 : Liquidation et effondrement (vers 20h40, 15 mars)
Lorsque l’attaquant a cessé d’acheter, la pression vendeuse naturelle s’est abattue. Le prix du THE s’est effondré, le health factor de l’attaquant sur Venus s’est rapidement dégradé et des liquidations massives ont été déclenchées. Mais avec la liquidité du THE asséchée, les liquidations ont accéléré la chute, entraînant une spirale descendante. Le prix est retombé à 0,24 $, bien en dessous de son niveau d’avant l’attaque. Après les liquidations, environ 2,15 millions de dollars de prêts (dont 1,18 million de CAKE et 1,84 million de THE) sont restés impayés, constituant la créance irrécouvrable du protocole Venus.
Analyse des données et de la structure : le schéma d’attaque derrière les chiffres
Comprendre le succès de cette attaque nécessite de décortiquer ses données clés et les mécanismes exploités.
| Dimension d’analyse | Données clés | Explication du mécanisme |
|---|---|---|
| Efficacité du capital | Fonds initiaux : 7 400 ETH (~9,92 M$ en stablecoins) Actifs empruntés : ~5,07 M$ | On-chain, l’attaquant semble avoir perdu de l’argent, mais le véritable profit provient probablement de positions short sur des dérivés CEX. |
| Manipulation du collatéral | Accumulé : 84 % du plafond THE (~14,5 M) Position maximale : 53,2 M THE (3,67x le plafond) | Le contournement du plafond via des transferts directs au contrat a été la clé technique pour amplifier l’attaque. |
| Volatilité des prix | Prix initial : ~0,27 $ Pic manipulé : ~0,53 $ (après mise à jour oracle) Après crash : ~0,24 $ | L’attaquant n’a relevé le prix oracle que de 96 %, mais cela a suffi pour emprunter des millions d’actifs. |
| Créance irrécouvrable finale | ~2,15 M$ | Moindre que le pic historique de Venus (ex. 95 M$ lors de l’incident XVS), mais révélateur d’un angle mort dans les contrôles de risque. |
L’attaquant a contourné les restrictions de plafond par le code grâce à une donation attack. Le décalage de mise à jour de l’oracle TWAP est devenu un levier, non une défense.
Analyse du sentiment de marché : pertes on-chain, gains off-chain
Après l’incident, analystes on-chain et communauté se sont accordés sur la nature de l’attaque, mais ont débattu du bilan réel de l’assaillant.
Analyse dominante : manipulation classique de prix et attaque d’oracle
Plusieurs analystes, dont EmberCN et Weilin Li, ont souligné qu’il s’agissait d’une répétition réussie du schéma d’attaque d’oracle observé lors de l’incident Mango Markets en 2022. L’attaquant a exploité la contradiction entre la faible liquidité d’un actif et la fréquence de rafraîchissement des oracles des protocoles de prêt. Weilin Li note, sur la base de l’analyse on-chain, que l’assaillant « n’a presque rien gagné » et aurait même pu perdre des fonds.
Débat : le véritable modèle de profit de l’attaquant
Une question centrale a émergé : pourquoi déployer autant d’efforts — pour n’emprunter que 5,07 millions de dollars on-chain après avoir mobilisé 9,92 millions de capital ?
Théorie de la perte on-chain : L’analyse préliminaire d’EmberCN suggère que l’attaquant a perdu de l’argent on-chain, la valeur des actifs empruntés étant inférieure au coût du capital. La motivation pourrait être le sabotage ou l’expérimentation technique.
Théorie du profit off-chain : Il s’agit actuellement de l’hypothèse la plus convaincante. L’attaquant aurait probablement ouvert d’importantes positions short sur le jeton THE sur des plateformes centralisées (CEX) en amont. En provoquant un krach du prix via ses actions on-chain, ses shorts sur CEX auraient généré d’importants profits, compensant largement le « coût » on-chain et aboutissant à un gain net.
L’objectif réel était donc de « tirer profit off-chain d’actions on-chain ». Les vulnérabilités des marchés de prêt on-chain sont devenues des leviers pour engranger des gains sur des marchés externes. Ce modèle d’attaque d’« arbitrage inter-marchés » représente une menace de réduction de dimension pour les systèmes de gestion des risques focalisés uniquement sur les données on-chain.
Analyse critique du récit : discours officiel vs. doutes communautaires
Venus et son gestionnaire de risques Allez Labs ont réagi rapidement avec des analyses, mais certains points de leur récit méritent d’être examinés de plus près.
Vérification 1 : la « donation attack » est-elle vraiment une nouvelle vulnérabilité ?
L’analyse de Venus indique que l’assaillant a contourné le plafond d’approvisionnement par transfert direct de jetons au contrat. Or, selon les revues de la communauté sécurité, ce vecteur de « donation attack » avait déjà été mentionné lors d’un audit Code4rena antérieur sur Venus. À l’époque, l’équipe l’avait qualifié de « comportement supporté sans effet négatif ». Cela suggère que la vulnérabilité n’était pas inconnue, mais avait été subjectivement écartée.
Vérification 2 : la mise à zéro des facteurs de collatéral était-elle préventive ou réactive ?
Venus a fixé le facteur de collatéral à zéro sur sept marchés, présentant cela officiellement comme une mesure préventive contre la « surconcentration du collatéral par un seul utilisateur ». Pourtant, les réactions du marché indiquent qu’il s’agissait davantage d’une mise en quarantaine d’urgence. Si ces marchés (ex. BCH, LTC, AAVE) disposent d’une liquidité correcte en eux-mêmes, la distribution du collatéral sur Venus était très concentrée, les rendant vulnérables à des manipulations similaires à faible coût. La mesure a été efficace, mais a aussi mis en lumière le retard du protocole dans la gestion diversifiée du collatéral.
Impact sectoriel : repenser la gestion des risques DeFi
Si l’incident a concerné Venus, ses répercussions s’étendent à l’ensemble du secteur DeFi.
Repenser la sécurité des oracles
Les oracles TWAP étaient auparavant considérés comme plus sûrs que les prix spot, car supposés résister aux manipulations par flash loan. Cet événement montre que, face à des attaquants prêts à accumuler sur plusieurs mois et à utiliser des tactiques de donation, le délai du TWAP devient une fenêtre d’opportunité pour des attaques à effet de levier. La sécurité des oracles ne peut plus reposer uniquement sur la pondération temporelle ; elle doit s’accompagner de contrôles de profondeur de liquidité et d’une surveillance de marché en temps réel.
Impact sur les modèles de collatéral
L’idée selon laquelle « tout actif peut servir de collatéral » est confrontée à la réalité. Les actifs à faible liquidité et très concentrés — même avec une capitalisation significative — sont intrinsèquement vulnérables à la manipulation. À l’avenir, les protocoles de prêt évalueront plus strictement l’« indice de manipulabilité » des collatéraux, en tenant compte de la liquidité on-chain, de la concentration des détenteurs et de la profondeur globale du marché du projet.
Gouvernance sous surveillance
Des risques clairement identifiés lors d’audits ont été écartés pour des raisons subjectives, menant in fine à des pertes. Cela rappelle que l’audit de code n’est qu’un point de départ : une évaluation continue des risques et la prise en compte des vecteurs d’attaque connus sont essentielles à la sécurité des protocoles. Le fait que le prix du Venus (XVS) ait progressé de 5,04 % en 24 heures après l’incident traduit peut-être la confiance du marché dans la réaction rapide de Venus, mais pourrait aussi masquer une méconnaissance des capacités de gestion des risques à long terme du protocole.
Analyse de scénarios : évolutions possibles
Au vu des faits et des logiques actuelles, trois scénarios d’évolution sont envisageables :
Scénario 1 : Stabilisation à court terme
Venus a déjà isolé les marchés à risque et promis un rapport complet post-mortem. Tant que les pools de prêt principaux (BTC, ETH, BNB) restent épargnés, le protocole devrait pouvoir restaurer la confiance à court terme. La créance irrécouvrable pourrait être absorbée par les réserves du protocole ou via des propositions de gouvernance, évitant ainsi une crise systémique.
Scénario 2 : Renforcement réglementaire et des audits à moyen terme
L’incident servira de cas d’école aux régulateurs et cabinets d’audit. À l’avenir, les audits de protocoles DeFi devront inclure des tests sur les vecteurs d’attaque « accumulation longue + contournement par donation ». La collaboration sécuritaire inter-protocoles se renforcera, et des mécanismes de partage d’information devraient voir le jour.
Scénario 3 : Paradigme d’attaque à long terme
Si le modèle « perte on-chain, profit off-chain » se confirme, ce type d’attaque pourrait devenir la norme. Les attaquants ne chercheront plus à piller directement la trésorerie des protocoles, mais utiliseront leurs failles comme « interrupteurs » de manipulation de prix, visant de gros gains sur les marchés dérivés. La défense s’en trouvera complexifiée, les données on-chain n’étant plus le seul indicateur de rentabilité des attaquants.
Conclusion
L’épreuve traversée par Venus s’ajoute à l’histoire évolutive de la sécurité DeFi. Ce n’est ni la première, ni la dernière attaque sur oracle. De la manipulation du prix XVS en 2021, à l’effondrement de LUNA en 2022, jusqu’à cette chasse de neuf mois sur le jeton THE, l’histoire de Venus est un manuel vivant de gestion des risques DeFi.
La véritable sécurité ne consiste pas à éviter toute erreur, mais à renforcer les défenses à chaque leçon apprise. Alors que les attaquants planifient désormais sur plusieurs années et arbitrent entre marchés, les défenseurs doivent dépasser le code et adopter une vision plus large, inspirée de la théorie des jeux, pour sécuriser les protocoles. Pour les utilisateurs, retenir que « tout rendement comporte un risque » est sans doute plus essentiel que de courir après la prochaine opportunité à haut rendement.
