Back to Blog

Venus Thena (THE) Zwischenfall: Was brach und was wurde übersehen

March 17, 2026
16 min read

Am 15. März 2026 umging ein Angreifer die Angebotsobergrenze (supply cap) des THE (Thena)-Marktes im Core Pool des Venus-Protokolls (BNB Chain), blähte eine Kollateralsicherheitsposition auf das 3,67-fache des beabsichtigten Limits auf und lieh sich Vermögenswerte im Wert von ca. 14,9 Mio. USD [1]. Frühe Medienberichte stellten dies als einen Exploit im Wert von ca. 3,7 Mio. USD dar, aber die On-Chain-Situation ist komplexer: sowohl das Protokoll als auch der Angreifer verloren am Ende Geld.

Der eigene Post-Mortem-Bericht von Venus [1] und mehrere frühere Analysen [2, 3, 4] haben den Angriffsmechanismus detailliert zerlegt, einschließlich der Umgehung der Angebotsobergrenze, des Spenden-Angriffsvektors und des grundlegenden Geldflusses. Dieser Artikel wiederholt diese Schritte nicht. Stattdessen untersucht er die On-Chain-Gewinn- und Verlustrechnung für Protokoll und Angreifer und konzentriert sich auf die systemischen Risiken, die die Abwehrmechanismen von Kreditprotokollen offenlegen.

Durch die Analyse des Angriffs- und Liquidationsprozesses und die Verfolgung des gesamten Geldflusses stellt dieser Artikel fest, dass 254 Liquidationsbots in 8.048 Transaktionen um die Position wetteiferten, um sie abzuwickeln, aber es verblieben 2,15 Mio. USD an uneinbringlichen Forderungen [1]. Die Liquidation wurde ausgelöst, reichte aber nicht aus. Der Angreifer investierte 9,92 Mio. USD und behielt nach allen Liquidationen nur ca. 5,2 Mio. USD, ein Nettoverlust von ca. 4,7 Mio. USD auf der Kette. Diese Ergebnisse zeigen, wie alle drei Verteidigungslinien in Kreditprotokollen unter realem Stress versagten, während frühe Warnsignale, die auftraten, nicht wirksam umgesetzt werden konnten. Dies deckt die Grenzen bestehender Schutzmaßnahmen auf und unterstreicht die Notwendigkeit, dass die Community aus diesem Vorfall lernt und ihre Überwachungs- und Frühwarnkapazitäten stärkt.

Hintergrund

Angebotsobergrenzen sind eine Standard-Risikokontrolle in Kreditmärkten nach Compound-Art. Sie begrenzen, wie viel eines bestimmten Vermögenswerts als Sicherheit hinterlegt werden kann, und bieten eine Decke für die Exposition des Protokolls gegenüber volatilen oder wenig liquiden Token. Venus legte eine Angebotsobergrenze von 14,5 Mio. THE für seinen THE-Markt fest, was die geringe On-Chain-Liquidität des Tokens widerspiegelt.

Hinter der Angebotsobergrenze verbergen sich zwei zusätzliche Sicherheitsebenen. Die kollaterale Bewertung auf Basis von Orakeln bestimmt, wie viel ein Kreditnehmer gegen seine Einlagen ziehen kann. Wenn eine Position unterbesichert wird, wird erwartet, dass ein wettbewerbsfähiger Liquidationsmarkt eingreift: Drittanbieter-Bots begleichen die Schulden und beschlagnahmen Sicherheiten zu einem Rabatt, wodurch das Protokoll solvent bleibt.

Diese dreischichtige Struktur (Expositionsgrenzen, Bewertung, Liquidation) bildet den Risikorahmen für die meisten Kreditprotokolle. Der Venus THE-Vorfall testete alle drei Schichten gleichzeitig, und alle drei erwiesen sich als unzureichend. Die folgenden Abschnitte untersuchen, wie jede Schicht getestet wurde und wo sie versagte.

Der Angriff

Die Umgehung: Spendenangriff

Angebotsobergrenzen in den meisten Compound-Forks beschränken nur den Mint-Pfad: die Standard-Einzahlungsfunktion, die die Obergrenze prüft, bevor vTokens ausgegeben werden. Sie berücksichtigen keine Token, die direkt an die Vertragsadresse übertragen werden.

Der Angreifer nutzte diese Lücke. Eine direkte ERC-20-Übertragung an den vTHE-Vertrag erhöht den zugrunde liegenden Token-Saldo des Vertrags, ohne neue vTokens zu prägen. In der Buchhaltung nach Compound-Art bläht dies den exchangeRate (Wechselkurs) zwischen vTokens und dem zugrunde liegenden Vermögenswert auf. Jeder bestehende vToken-Halter profitiert: Seine vTokens stellen nun einen Anspruch auf mehr zugrunde liegende Token dar, was seinen effektiven Kollateralwert erhöht, wie er vom Protokoll gesehen wird.

Diese "Spendenattacke" ist eine bekannte Schwachstellenklasse in Compound-Forks. Jedes Protokoll, das Angebotsobergrenzen nur auf dem Mint-Pfad erzwingt, ist anfällig: Die effektive Exposition gegenüber dem zugrunde liegenden Vermögenswert kann die Obergrenze weit überschreiten, ohne dass eine Grenzprüfung ausgelöst wird.

Vorbereitung (Juni 2025 bis März 2026)

Der Angriff begann nicht am 15. März. Der Angreifer erhielt 7.447 ETH über Tornado Cash von einer Finanzierungsadresse (0x7a79...f234), zahlte die ETH als Sicherheit bei Aave ein und lieh sich 9,92 Mio. USD in Stablecoins (USDT, DAI, USDC). Diese Gelder wurden auf mehrere Wallets verteilt, um ab Juni 2025 THE zu kaufen, und bauten nach und nach eine kombinierte Position auf, die am Morgen des Angriffs 84 % der Angebotsobergrenze (ca. 12,2 Mio. THE) erreichte.

Kumulative vTHE-Position des Angreifers (Juni 2025 bis März 2026). Allmähliche Anhäufung über 9 Monate, gefolgt von vollständiger Liquidation.

Diese neunmonatige Vorbereitungszeit war die ganze Zeit über auf der Kette sichtbar. Nach jeder Einzahlung war der On-Chain-Zustand des Protokolls (Gesamtangebot, Konzentration der Position relativ zur Obergrenze) öffentlich abfragbar. Jede einzelne Transaktion war jedoch routinemäßig und würde keine herkömmlichen Warnungen auslösen. Die Erkennung dieser Art von Risiko erfordert eine kontinuierliche Überwachung von Zustandsänderungen auf Protokollebene, ein Bereich, in dem Sicherheitsprotokoll-Frameworks verbessert werden müssen.

Der Angreifer operierte über mehrere Adressen, die alle zu einer einzigen Tornado Cash-Finanzierungsquelle zurückverfolgt werden konnten:

Adresse Rolle
0x7a79...f234 Finanzierung: Erhielt 7.447 ETH von Tornado Cash, Einzahlung in Aave, geliehene 9,92 Mio. USD in Stablecoins
0x43c7...2f82 Angreifer EOA
0x737b...a619 Angriffsvertrag: Führte im Zeitraum Phase 2-3 die Spendenumgehung und das Leihen aus. Liquidation um 12:04 UTC.
0x1a35...6231 Angreifer-Wallet: Liefert THE über den Mint-Pfad, hielt vTHE

Ausführung (15. März 2026)

Um 11:00 UTC hielt der Angreifer 12,2 Mio. THE innerhalb des Protokolls, immer noch innerhalb der 14,5 Mio. Obergrenze. Um ca. 11:55 UTC setzte der Angreifer den Angriffsvertrag (0x4f477e...f5663f) [1] ein, der die Spendenumgehung und das anfängliche Leihen atomar im Konstruktor ausführte. Sechs Wallets überwiesen insgesamt ca. 36 Mio. THE direkt an den vTHE-Vertrag, wodurch der Wechselkurs um das 3,81-fache aufgebläht wurde. Der Angriffsvertrag, dem die Erlaubnis erteilt worden war, gegen die Position von 0x1a35 zu leihen, lieh sich dann Vermögenswerte gegen die aufgeblähte Sicherheit.

Von ca. 12:00 bis 12:42 UTC führten beide Adressen nachfolgende Transaktionen in einer rekursiven Hebelwirkungsschleife [1] aus:

  1. Leihe von Vermögenswerten gegen die aufgeblähte Sicherheit (CAKE, BNB, BTCB, USDC)
  2. Tausche geliehene Vermögenswerte auf dem offenen Markt gegen THE
  3. Spende THE an den vTHE-Vertrag, wodurch der Wechselkurs weiter aufgebläht und der Preis erhöht wird
  4. Wiederholen mit erhöhter Kreditaufnahme
Uhrzeit (UTC) THE Eingezahlt % der Obergrenze Status
11:00 12,2 Mio. 84 % Innerhalb der Obergrenze
12:00 49,5 Mio. 341 % Obergrenze umgangen
12:42 53,2 Mio. 367 % Höhepunkt vor Liquidation

Zeitliniendaten aus dem Post-Mortem von Venus [1].

Aufgrund der extrem geringen On-Chain-Liquidität von THE verursachten selbst bescheidene Käufe erhebliche Preisauswirkungen. Der aggregierte Marktpreis von THE stieg von ca. 0,26 USD auf über 0,53 USD (laut CoinMarketCap). Das Resilient Oracle von Venus (primär RedStone, als Pivot Binance) lehnte den steigenden Preis zunächst ab: ab ca. 11:55 UTC wurde der BoundValidator für etwa 37 Minuten zurückgesetzt, da der Binance-Feed stark abwich und fast 4 USD erreichte [1]. Während dieses Zeitfensters konnte das Orakel den Preis von THE nicht aktualisieren. Da der Angreifer über mehrere Kanäle hinweg Kaufdruck in RedStones Aggregation aufrechterhielt, konvergierten beide Feeds schließlich bei dem erhöhten Niveau um ca. 12:32 UTC. Das Resilient Oracle akzeptierte den Preis bei etwa 0,51 USD [1], und das Protokoll begann, die Sicherheit des Angreifers zum manipulierten Kurs zu bewerten.

Preisänderungen des THE-Tokens vor und nach dem Angriff.

Die kombinierte Wirkung der Aufblähung des Wechselkurses (3,81x durch Spende) und der Preismanipulation (0,26 USD → 0,51 USD) vervielfachte die Kreditaufnahme des Angreifers etwa um das Siebenfache. Dennoch war die reale Markttiefe von THE ein Bruchteil selbst dieses vom Orakel berichteten Wertes.

Überdehnung und Kollaps (ab ca. 12:42 UTC)

Nachdem die erste Runde der geliehenen Vermögenswerte entnommen war, hätte der Angreifer aufhören können. Stattdessen setzte er geliehene Mittel weiter ein, um mehr THE zu kaufen und zu versuchen, einen weiteren Preissprung zu erzwingen. Dies brachte den Gesundheitsfaktor nahe an 1 [1]. Um 12:42 UTC erreichte die Position ihren Höhepunkt bei 53,2 Mio. THE.

Sobald der Kaufdruck nachließ, gab es nichts mehr, das den aufgeblähten Preis von THE stützte. Verkaufsdruck von Liquidationsbots und panischen Inhabern überwältigte die geringe Liquidität auf der Angebotsseite, und der Preis von THE brach von ca. 0,51 USD auf etwa 0,22 USD ein [1], weit unter dem Vorkrisenniveau von 0,26 USD. Kaskadierende Liquidationen wickelten etwa 42 Mio. THE an Sicherheit ab [1], und die letzte Verteidigungslinie des Protokolls aktivierte sich: Drittanbieter-Liquidatoren griffen ein, um Verluste zu begrenzen.

Die Realität der Liquidation

Im DeFi-Kreditwesen ist die Annahme einfach: Wenn Positionen in den Miesen sind, greifen Drittanbieter-Liquidatoren ein, begleichen die Schulden, beschlagnahmen die Sicherheiten zu einem Rabatt und halten das Protokoll solvent. Der Venus THE-Vorfall hat diesen Mechanismus nicht gebrochen. Er deckte seine Grenzen auf.

Sie kamen. Es reichte nicht.

On-Chain-Liquidationsdaten (bezogen aus dem Dune-Dashboard von Venus [5], mit zusätzlicher Transaktionsanalyse) zeigen:

Metrik Wert
Gesamte Liquidations-Transaktionen (vTHE, 15. März) 8.048
Eindeutige Liquidations-Aufrufer 254
Liquidations-Einstiegsvertrag 0x0870...cf43 (Venus Core Pool Liquidator)
Gesamte bei Venus geliehene Vermögenswerte ca. 14,9 Mio. USD [1]
Verbleibende uneinbringliche Forderungen ca. 2,15 Mio. USD [1]

Das Dune-Dashboard verzeichnet 0x0870...cf43 als Liquidator für alle Transaktionen. Diese Adresse ist der Core Pool Liquidator-Vertrag von Venus, ein erlaubnisfreier Einstiegspunkt, über den jeder externe Aufrufer Liquidationen ausführen kann. Eine Abfrage der tatsächlichen Absender der Transaktionen enthüllt 254 verschiedene Adressen, die um Liquidationsmöglichkeiten in 8.048 Transaktionen wetteiferten.

Von den 8.048 vTHE-Liquidationstransaktionen zielten 8.039 auf die Hauptposition des Angreifers (0x1a35) ab; die verbleibenden 9 liquidierten vier nicht verwandte Nutzer mit geringen vTHE-Beständen, die vom Preisverfall betroffen waren.

Die Beteiligung führte nicht zur vollständigen Erholung. Die Bots beschlagnahmten vTHE und beglichen Schulden, die in BNB, BTCB, CAKE, USDC und WBNB denominiert waren. Um einen Gewinn zu erzielen, mussten sie diese THE auf dem offenen Markt verkaufen. Da 53 Mio. THE gerade in einen Markt mit nur wenigen Millionen Dollar Tiefe gepumpt wurden, konnten die beschlagnahmten Sicherheiten nicht zu stabilem Wert liquidiert werden, ohne massive Slippage zu verursachen. Das Ergebnis: 2,15 Mio. USD an Schulden konnten nicht beglichen werden und wurden zu uneinbringlichen Forderungen in der Bilanz von Venus.

Zwei Positionen, zwei Ergebnisse

Der Angreifer unterhielt zwei Positionen mit unterschiedlichen Kollateraltypen [2]. Die beiden erfüllten komplementäre Rollen: 0x1a35 war die Hauptposition, die über neun Monate THE anhäufte und wertvolle Vermögenswerte gegen die aufgeblähte Sicherheit lieh, während 0x737b der Angriffsvertrag war, der die Spendenumgehung atomar ausführte und THE lieh (mit USDC als Sicherheit), um den Wechselkurs weiter aufzublähen. Ihre Liquidationsergebnisse unterschieden sich sowohl in Bezug auf Zeitpunkt als auch auf Mechanismus:

Adresse Kollateral Trans. Zurückgezahlte Schulden Ergebnis
0x737b (Angriffsvertrag) vUSDC 603 729.000 USD ca. 359.000 USD THE-Schulden verbleibend [1]
0x1a35 (Angreifer-Wallet) vTHE 8.039 ca. 12,0 Mio. USD wiedererlangt ca. 1,79 Mio. USD uneinbringliche Forderungen (beschlagnahmtes THE illiquide)

Die Position 0x737b wurde zuerst liquidiert, beginnend um 12:04 UTC während der Aufwärtsphase [2]. Ihre Sicherheit war 1,58 Mio. USDC (fester Wert), während ihre Schulden in THE denominiert waren. Die Position wurde mit minimaler Marge bei THE ~0,26 USD erstellt. Als der Angreifer weiterhin THE auf DEX kaufte und seinen Marktpreis auf ~0,51 USD hochpeitschte, überstieg der Wert der THE-Schulden die USDC-Sicherheit bei weitem, was zur Liquidation führte. Liquidatoren beschlagnahmten die USDC, aber selbst nach 603 Transaktionen konnte die beschlagnahmte Sicherheit die THE-Schulden nicht vollständig decken, was zu 1,85 Mio. THE (ca. 359.000 USD) unbezahlt blieb [1]. Dies war wahrscheinlich beabsichtigt: 0x737b diente dazu, THE für die Spendenumgehung zu leihen, und nachdem diese Mission abgeschlossen war, war der Verlust der USDC-Sicherheit ein akzeptabler Preis.

Die Liquidation von 0x1a35 erzählt die wahre Geschichte. Ihre Sicherheit war THE selbst. 254 Bots wetteiferten in 8.039 Transaktionen um die Liquidation, aber das beschlagnahmte THE konnte nicht zu einem Preis verkauft werden, der auch nur annähernd dem vom Orakel gemeldeten Wert entsprach. Die Zeitachse zeigt die Dynamik:

Stunde (UTC) Trans. Zurückgezahlte Schulden Phase
12:00-12:59 3.416 ca. 3,83 Mio. USD THE-Preis bricht ein, stärkste Slippage
13:00-13:59 4.626 ca. 10,40 Mio. USD Preis stabilisiert sich, Hauptteil der Liquidation

Beide Positionen trugen zu den Verlusten des Protokolls bei: ca. 359.000 USD aus der ungedeckten THE-Schuld von 0x737b und der Rest aus der illiquiden THE-Sicherheit von 0x1a35. Von den insgesamt ca. 14,9 Mio. USD, die von Venus geliehen wurden [1], gelang es den Liquidatoren, den Großteil wieder hereinzuholen. Die verbleibenden ca. 2,15 Mio. USD wurden zu uneinbringlichen Forderungen auf der Bilanz von Venus.

Ein Hinweis zu Dune-basierten Zahlen: Das Venus Dune-Dashboard [5] bewertet beschlagnahmte Sicherheiten und zurückgezahlte Schulden anhand von täglichen Schnappschuss-Preisen aus seiner Tabelle daily_market_info. Da der Preis von THE intraday von ca. 0,53 USD auf 0,22 USD abstürzte, können die von Dune abgeleiteten USD-Beträge (einschließlich der stündlichen Aufschlüsselung oben und der Umsatzzahlen im folgenden Abschnitt) von Echtzeit-Werten abweichen. Wo offizielle Zahlen verfügbar sind (Gesamtkreditaufnahme ca. 14,9 Mio. USD, uneinbringliche Forderungen ca. 2,15 Mio. USD [1]), verwenden wir diese als maßgebliche Quelle. Obwohl absolute USD-Beträge variieren können, bleiben die zugrunde liegenden Trends und Schlussfolgerungen konsistent.

Dem Geld folgen

Die Liquidationsdaten zeigen, wie die Positionen abgewickelt wurden. Um die tatsächliche P&L (Gewinn und Verlust) des Angreifers zu verstehen, müssen wir über einzelne Transaktionen hinausgehen und vergleichen, was der Angreifer investiert hat und was er nach Abschluss aller Liquidationen behalten hat.

Was hineinging

Die Finanzierungskette des Angreifers: 7.447 ETH über Tornado Cash erhalten, als Sicherheit bei Aave eingezahlt, 9,92 Mio. USD in Stablecoins (USDT, DAI, USDC) geliehen und auf mehrere Wallets verteilt, um über neun Monate THE und vTHE zu erwerben. Die gesamten 9,92 Mio. USD wurden in THE-Positionen auf Venus umgewandelt. Nach dem Angriff wurden alle THE-Sicherheiten liquidiert, und diese Investition wurde effektiv ausgelöscht.

Was von Venus geliehen wurde

Auf dem Höhepunkt (12:42 UTC) hatte der Angreifer insgesamt etwa 14,9 Mio. USD von Venus geliehen [1]:

Adresse Kollateral Geliehene Vermögenswerte
0x1a35 (Angreifer-Wallet) 53,2 Mio. THE 6,67 Mio. CAKE + 2.801 BNB + 1.972 WBNB + 1,58 Mio. USDC + 20 BTCB
0x737b (Angriffsvertrag) 1,58 Mio. USDC 4,63 Mio. THE

Nicht alle geliehenen Vermögenswerte wurden als Gewinn entnommen. Ein erheblicher Teil wurde zurück in den Angriff recycelt:

  • 0x1a35 lieh wiederholt BNB von Venus, tauschte es gegen THE und spendete das THE direkt an den vTHE-Vertrag, um den Preisanstieg und die Aufblähung des Wechselkurses aufrechtzuerhalten [1].
  • 0x737b führte 48 Transaktionen während Phase 3 aus (Funktionssignatur 0x91f38bff). Zwei davon liehen und behielten wertvolle Vermögenswerte (CAKE, WBNB): 0x4253a8...eca296 und 0xfd64d0...154808. Die übrigen waren Leih-Tausch-Spende-Schleifen: Vermögenswerte von Venus leihen, gegen THE tauschen und das THE an den vTHE-Vertrag spenden.
  • 1,58 Mio. USDC, die von 0x737b geliehen wurden, wurden sofort als eigene Sicherheit wieder eingezahlt [1]. Diese USDC wurden später bei der Liquidation beschlagnahmt und verließen das Protokoll nie.
  • 4,63 Mio. THE, die von 0x737b geliehen wurden, wurden direkt an den vTHE-Vertrag gespendet, um den Wechselkurs aufzublähen [1].

Was der Angreifer behielt

Nachdem beide Venus-Positionen liquidiert waren, überprüften wir die endgültigen Token-Salden in allen vom Angreifer kontrollierten Adressen (über DeBank):

Adresse Token Menge USD-Wert
0x1a35 CAKE 1.500.000 ca. 2,24 Mio. USD
0x1a35 BTCB 20 ca. 1,48 Mio. USD
0x1a35 WBNB 200 ca. 0,14 Mio. USD
0x737b WBNB 1.972,53 ca. 1,33 Mio. USD
0x737b CAKE 16.093 ca. 0,02 Mio. USD
Gesamt behalten ca. 5,21 Mio. USD

Die Aave-Position (7.447 ETH-Sicherheit, ca. 9,92 Mio. USD Schulden) bleibt offen und unverändert (Gesundheitsfaktor 1,45). Die 9,92 Mio. USD in Stablecoins wurden auf die BNB Chain abgehoben und in THE umgewandelt, aber dies reduziert die Aave-Schuld nicht. Aus Sicht von Aave ist der Angreifer einfach ein Kreditnehmer mit ausreichender Sicherheit. Der Angreifer behält Zugriff auf die ETH abzüglich der ausstehenden Schulden.

Netto On-Chain P&L

USD
Gesamt investiert (Aave-Kredite → THE, alles in Liquidation verloren) -9,92 Mio. USD
Gesamt behalten (von Venus geliehene Vermögenswerte nach Liquidation behalten) +ca. 5,21 Mio. USD
Netto On-Chain-Verlust ca. -4,71 Mio. USD

Die On-Chain-Operation war eindeutig unrentabel. Von den ca. 14,9 Mio. USD, die von Venus geliehen wurden, behielt der Angreifer nur ca. 5,21 Mio. USD. Der Rest wurde entweder in THE-Spenden-Schleifen recycelt, bei der Liquidation beschlagnahmt oder als uneinbringliche Forderung des Protokolls absorbiert.

Protokollverluste

Nachdem alle Liquidationen abgeschlossen waren, blieben bei Venus etwa 2,15 Mio. USD an uneinbringlichen Forderungen [1]:

Vermögenswert Menge USD-Wert
CAKE ca. 1,18 Mio. ca. 1,79 Mio. USD
THE ca. 1,85 Mio. ca. 0,36 Mio. USD
Gesamte uneinbringliche Forderungen ca. 2,15 Mio. USD

Wertverteilung

Partei Netto P&L Anmerkungen
Angreifer (On-Chain) ca. -4,71 Mio. USD 9,92 Mio. USD investiert, ca. 5,21 Mio. USD behalten
Venus Protokoll -2,15 Mio. USD Uneinbringliche Forderungen nach allen Liquidationen [1]
Drittanbieter-Liquidatoren Unbekannt 254 Bots nahmen teil; P&L hängt von THE-Ausstiegspreisen ab
Angreifer (CEX) Unbekannt Mögliche Perpetual-Positionen, nicht nachprüfbar

Bei einem typischen DeFi-Exploit leidet das Protokoll oder der LP unter einem Verlust, der Angreifer profitiert, und der "fehlende Wert" zwischen den beiden wird von Dritten wie Liquidatoren, Arbitrage-Händlern und Block-Buildern erfasst. Dieser Vorfall durchbricht dieses Muster: Der Angreifer verlor auch On-Chain Geld (ca. 4,71 Mio. USD). Ob dieser Verlust durch Off-Chain-Positionen (z. B. Perpetual Futures auf zentralisierten Börsen [3, 4]) ausgeglichen wurde, bleibt nicht nachprüfbar.

Lehren: Drei Verteidigungslinien

Der Angriff nutzte eine bekannte Schwachstelle aus, verwendete eine klassische Hebelwirkungsschleife und verursachte dennoch 2,15 Mio. USD an uneinbringlichen Forderungen. Das eigentliche Versagen war nicht ein einzelner Mechanismus, sondern die kumulative Auswirkung von Schwächen im gesamten Risikostapel.

Erste Linie: Expositionsgrenzen

Die Angebotsobergrenze von Venus beschränkte nur den Standard-mint-Pfad. Direkte Token-Übertragungen an den vToken-Vertrag umgingen sie vollständig. Jede Risikokontrolle, die sich auf Buchhaltungsannahmen verlässt, muss diese Annahmen über alle zustandsverändernden Operationen hinweg validieren, nicht nur über den erwarteten Einzahlungsfluss.

Zweite Linie: Kollaterale Bewertung

Der vom Resilient Oracle gemeldete Preis (ca. 0,51 USD) lag nahe am aggregierten Marktpreis, und der BoundValidator lehnte die extreme Binance-Feed-Daten für 37 Minuten korrekt ab [1]. Doch selbst ein "korrekter" Marktpreis ist für eine Sicherheit im Wert von zig Millionen bedeutungslos, wenn der zugrunde liegende Markt nur wenige Millionen Dollar Tiefe hat [3]. Diese Position ermöglichte es dem Angreifer, Vermögenswerte im Wert von ca. 14,9 Mio. USD zu leihen [1], doch die THE-Sicherheit konnte nur einen Bruchteil ihres vom Orakel gemeldeten Wertes bei der Liquidation realisieren, was zu insgesamt 2,15 Mio. USD an uneinbringlichen Forderungen beitrug. Für illiquide Token bietet eine nominale Überbesicherung keinen wirklichen Sicherheitsspielraum, wenn die Sicherheit nicht zu den vom Orakel gemeldeten Preisen verkauft werden kann. Kreditprotokolle sollten eine liquiditätsbereinigte Kollateralbewertung einführen, die Markttiefe, erwartete Slippage und Konzentrationsrisiko berücksichtigt.

Dritte Linie: Liquidation

Das gesamte Kreditmodell geht davon aus, dass Liquidatoren eingreifen und das Protokoll entschädigen, wenn Positionen in den Miesen sind. In diesem Vorfall verarbeiteten 254 Liquidationsbots allein für die vTHE-Position 8.048 Transaktionen. Der Liquidationsmarkt war aktiv und wettbewerbsintensiv. Es reichte immer noch nicht: 2,15 Mio. USD an uneinbringlichen Forderungen blieben bestehen. Das Problem war nicht ein Mangel an Liquidatoren, sondern ein Mangel an Liquidität. Als 53 Mio. THE auf einen Markt trafen, der nur wenige Millionen Dollar Tiefe hatte, konnte kein noch so großer Bot-Wettbewerb die beschlagnahmte Sicherheit in genügend Wert umwandeln, um die ausstehenden Schulden zu decken. Protokolle können die Liquidation nicht als verlässlichen Backstop behandeln, wenn der realisierbare Wert der Sicherheit stark von ihrem vom Orakel gemeldeten Wert abweicht.

Die Überwachungslücke

Die neunmonatige Akkumulationsphase war von Anfang an auf der Kette sichtbar: eine einzelne Entität näherte sich der Angebotsobergrenze, erhöhte die Konzentration in einem Vermögenswert mit geringer Liquidität, baute allmählich über Monate Positionen auf. Venus hat anerkannt, dass "einige Community-Mitglieder diese Adresse vor dem Exploit gemeldet haben", aber angemerkt, dass "die Adresse zu dieser Zeit vollständig innerhalb der Protokollgrenzen operierte" und dass sie als erlaubnisfreies Protokoll "keine Adressen allein aufgrund von Verdacht einfrieren oder auf die schwarze Liste setzen kann und sollte" [1]. Als Teil ihrer Abhilfemaßnahmen hat Venus erklärt, dass sie "On-Chain-Risikoüberwachungsmechanismen erforscht, die anomale Akkumulationsmuster kennzeichnen und eine Überprüfung auf Governance-Ebene auslösen können" [1].

Die verpassten Signale gehen über den langsamen Aufbau hinaus. Laut dem Post-Mortem von Venus [1] funktionierte der Schutzmechanismus des Orakels wie vorgesehen: Der BoundValidator lehnte den extremen Binance-Feed ab und setzte ihn 37 Minuten lang zurück, wodurch Preisaktualisierungen während des anfänglichen Manipulationsfensters effektiv blockiert wurden. Kein Überwachungssystem eskalierte diese Anomalie jedoch. Ein Orakel, das auf einem Markt mit ungewöhnlicher Konzentration kontinuierlich zurückgesetzt wird, ist ein Hochrisiko-Echtzeitsignal. Siebenunddreißig Minuten sind ein erhebliches Fenster. Hätte dies einen automatisierten Notbremsmechanismus oder sogar eine manuelle Überprüfung ausgelöst, könnte das Einfrieren des THE-Marktes, bevor das Orakel wieder konvergierte, den Großteil der Kreditaufnahme verhindert haben. Dies deckt auch eine breitere Lücke auf: Protokollverteidigungsmechanismen, die sich aktivieren und dann stillschweigend auflösen, ohne einen Alarm- oder Eskalationspfad, bieten nur Schutz vor den einfachsten Angriffen.

Dies deutet auf zwei unterschiedliche Fähigkeitslücken hin. Die erste ist die Langfrist-Positionsüberwachung: Verfolgung, wie sich die Konzentration einer einzelnen Entität in einem Vermögenswert mit geringer Liquidität im Laufe der Zeit relativ zu Angebotsobergrenzen, Markttiefe und Liquidationskapazität entwickelt. Keine einzelne Transaktion während des neunjährigen Aufbaus war böswillig, und keine Regel wurde gebrochen. Die zweite ist die Echtzeit-Orakel-Gesundheitsüberwachung: Erkennung anhaltender Orakelanomalien auf Märkten mit abnormaler Konzentration und deren Eskalation zu Notbremsmechanismen. Beides erfordert eine kontinuierliche Überwachungsinfrastruktur, die über einzelne Transaktionen hinausgeht und On-Chain-Zustandsänderungen über Adressen und Zeitfenster hinweg korreliert, um systemische Risiken aufzudecken, bevor sie eintreten.

Schlussfolgerung

Der Venus THE-Vorfall deckte keine neuartige Schwachstelle auf. Er zeigte, wie ein bekannter Angriffsvektor, geduldig ausgeführt, den gesamten Risikostapel eines Protokolls überwältigen kann, wenn jede Schicht davon ausgeht, dass die anderen halten werden. Warnsignale waren monatelang auf der Kette sichtbar, doch die Lücke zwischen Erkennung und Intervention bleibt ungelöst. Das Schließen dieser Lücke durch liquiditätsbewusste Risikoparameter, automatisierte Notbremsen und positionsbezogene Überwachung ist die zentrale Lektion, die dieser Vorfall der DeFi-Kreditgemeinschaft hinterlässt.

Referenzen

  • [1] Venus Protocol, "$THE Market Incident: Post-Mortem": https://community.venus.io/t/the-market-incident-post-mortem/5712
  • [2] AllezLabs, "Venus Protocol THE Incident Timeline": https://x.com/AllezLabs/status/2033239532355858536
  • [3] hklst4r, "Venus THE Attack Analysis": https://x.com/hklst4r/status/2033192855443808515
  • [4] EmberCN, "Venus THE Attacker Fund Flow": https://x.com/EmberCN/status/2033204517467308144
  • [5] Venus Protocol Liquidation Dashboard (Dune): https://dune.com/xvslove_team/venus-liquidations

Über BlockSec

BlockSec ist ein Anbieter von Full-Stack-Blockchain-Sicherheit und Krypto-Compliance. Wir entwickeln Produkte und Dienstleistungen, die Kunden dabei helfen, Code-Audits (einschließlich Smart Contracts, Blockchain und Wallets) durchzuführen, Angriffe in Echtzeit abzufangen, Vorfälle zu analysieren, illegale Gelder zu verfolgen und AML/CFT-Verpflichtungen über den gesamten Lebenszyklus von Protokollen und Plattformen zu erfüllen.

BlockSec hat mehrere Blockchain-Sicherheitsarbeiten auf renommierten Konferenzen veröffentlicht, mehrere Zero-Day-Angriffe von DeFi-Anwendungen gemeldet, mehrere Hacks blockiert, um mehr als 20 Millionen Dollar zu retten, und Kryptowährungen im Wert von Milliarden gesichert.

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.