Autor: 谷昱, ChainCatcher
Hacker sind der tödliche Feind jeder DeFi-Protokolle. Die meisten DeFi-Protokolle geraten nach Angriffen in Millionenhöhe in die Krise und verfallen. Doch Venus Protocol, das führende Kreditprotokoll auf der BNB Chain und ein internes Binance-Inkubationsprojekt, ist eine seltene Ausnahme.
Venus wurde ursprünglich vom Swipe-Team entwickelt, das von Binance übernommen wurde. Es wurde im Monat nach dem Start der BNB Chain im Jahr 2020 veröffentlicht und hat sich schnell zum größten Kreditprotokoll auf der BNB Chain in Bezug auf eingesetzte Vermögenswerte und Nutzerzahlen entwickelt. Laut RootData beträgt der FDV des Venus-Tokens derzeit 94 Millionen US-Dollar, der TVL liegt bei 1,47 Milliarden US-Dollar.
Kürzlich wurde Venus erneut Ziel eines Hackerangriffs. Laut Rückblick des offiziellen Teams sammelten die Angreifer ab Juni 2025 langsam THE-Token durch reguläre Einzahlungen an, bis sie schließlich etwa 12,2 Millionen THE im Wert von 2,4 Millionen US-Dollar hielten.
Am 15. März setzten die Angreifer alle THE-Token als Sicherheiten in den Kreditvertrag ein, nutzten die geringe Liquidität auf der Chain und die Verzögerung des TWAP-Orakels, um eine rekursive Preismanipulation durchzuführen und Vermögenswerte wie BTC, BNB, CAKE im Wert von mehreren Millionen US-Dollar zu leihen.
Mit dem Zusammenbruch des THE-Preises kam es zu Kettenliquidationen, was letztlich zu einem Ausfall von etwa 2,15 Millionen US-Dollar bei Venus führte. Rückblickend auf die letzten Jahre wurde Venus fast jährlich Ziel von Hackerangriffen, insbesondere Orakelangriffe, die insgesamt zu einem Ausfall von über 100 Millionen US-Dollar führten.
XVS-Orakel-Preismanipulation
Im Mai 2021 nutzte ein Angreifer die geringe Liquidität an der zentralisierten Börse (hauptsächlich Binance), um den XVS-Token innerhalb kurzer Zeit von etwa 70 auf über 140 US-Dollar zu treiben. Anschließend nutzte der Angreifer seine gehaltenen XVS als Sicherheiten, um große Mengen an hochwertigen Vermögenswerten (etwa 2000 BTC und 5700 ETH) aus Venus zu leihen.
Danach stürzte der XVS-Preis dramatisch ab, fiel auf 31 US-Dollar und löste eine groß angelegte Liquidation aus. Aufgrund unzureichender Marktliquidität führte dies zu einem Ausfall von über 95 Millionen US-Dollar.
Nach diesem Vorfall kündigte das Protokoll den Rückzug des Swipe-Teams an, und die Gemeinschaft bildete ein neues Gremium für die weitere Verwaltung, wobei Binance weiterhin eine starke Hintergrundrolle spielte.
LUNA-Crash
Im Mai 2022 brach LUNA während des gleichnamigen Crashs innerhalb kurzer Zeit auf unter 0,1 US-Dollar ein. Da das Chainlink-Orakel nach Erreichen eines bestimmten Schwellenwerts (0,10 US-Dollar) die Preisaktualisierung stoppte, nahm Venus fälschlicherweise LUNA bei 0,1 US-Dollar als Sicherheiten an.
Die Angreifer entdeckten diese Schwachstelle, kauften auf dem Sekundärmarkt große Mengen LUNA zu niedrigen Preisen, hinterlegten sie als Sicherheiten und liehen sich andere Vermögenswerte, was zu einem weiteren Ausfall von über 11,2 Millionen US-Dollar führte.
Binance-Orakel-Vorfall
Im Dezember 2023 nutzte ein Angreifer die geringe Liquidität im snBNB-Liquiditätspool auf PancakeSwap. Durch den Kauf im extrem dünnen Pool wurde der Preis von snBNB sofort auf ein absurdes Niveau getrieben.
Der Angreifer depositierte 0,49 snBNB und lieh sich fast alle verfügbaren Vermögenswerte im Pool (einschließlich WBNB, BNBx, ankrBNB), im Wert von etwa 274.000 US-Dollar, und transferierte diese über eine Cross-Chain-Brücke ab. Die Venus-Governance beschloss schließlich, die Verluste vollständig aus dem Treasury zu decken.
wUSDM-Orakel-Preismanipulation
Im Februar 2024 nutzte ein Angreifer eine Schwachstelle im ERC-4626-Protokoll, um den Preis des Mountain Protocols wUSDM-Stablecoins kurzfristig auf 1,7 US-Dollar zu treiben. Anschließend hinterlegte der Angreifer eine kleine Menge wUSDM in Venus.
Da das Orakel den manipulierten, künstlich hohen Preis erfasste, hinterlegte der Angreifer diese überbewerteten wUSDM als Sicherheiten und lieh sich Vermögenswerte im Wert höherer Assets (wie USDC, ETH). Als der Preis von wUSDM auf den normalen Wert von 1 US-Dollar zurückfiel, transferierte der Angreifer die ausgeliehenen Vermögenswerte und stellte die Rückzahlung ein. Nach der Liquidation entstand ein Ausfall von etwa 716.000 US-Dollar.
Gemeinschaftliche Governance-Debatte
Neben den oben genannten Angriffen gab es im September 2021 eine Governance-Entscheidung, die Zweifel aufkommen ließ. Ein Nutzer schlug vor, ein „Bravo-Team“ zu gründen, das gleiche Stimm- und Finanzierungsrechte wie das ursprüngliche Governance-Team erhalten sollte.
Der Initiator lockte durch die Versprechung, Token zu verteilen: Für die geplanten 1,9 Millionen XVS sollten 900.000 XVS (rund 29 Millionen US-Dollar) an die Stimmengeber verteilt werden. Am 14. September um 22:33 Uhr wurde der Vorschlag mit 1,29 Millionen Ja- und 1,19 Millionen Nein-Stimmen angenommen.
Laut Branchenprinzipien sollten solche On-Chain-Governance-Vorschläge nach Annahme durch das Team umgesetzt werden. Das Venus-Team jedoch „kürzte“ die Entscheidung per Knopfdruck ab, um zu verhindern, dass anonyme Akteure durch Bestechung die Kontrolle über das Protokoll erlangen. Dies ist eine der wenigen Fälle in der DeFi-Branche, in denen ein Vorschlag zwar angenommen, aber nicht umgesetzt wurde.
Im September 2025 kam es zudem zu einem Sicherheitsvorfall, bei dem Nutzer Vermögenswerte im Wert von über 13 Millionen US-Dollar verloren. Dieser Vorfall wurde jedoch hauptsächlich durch eine manipulierte Frontend-Oberfläche verursacht, die den Nutzer dazu verleitet hatte, eine „Delegation“-Transaktion zu unterschreiben, nicht durch eine Schwachstelle im Venus-Protokoll selbst.
Warum Venus „Überlebender“ ist
Betrachtet man diese Angriffe, so ist Venus ein seltener „Überlebender“ in der Krypto-Welt und möglicherweise das Projekt mit der größten Erfahrung im Umgang mit Hackern. Dies ist vor allem auf die kontinuierliche Unterstützung und das Vertrauen von Binance zurückzuführen, das Ressourcen und Markenstärke bereitstellt. Trotz zahlreicher Sicherheitsvorfälle fördert Binance weiterhin aktiv die Einlagen auf Venus, um höhere Renditen zu erzielen.
TVL-Statistik auf Venus basiert auf :DeFillama
Es ist allgemein bekannt, dass Binance auf der BNB Chain eine dominierende Stellung innehat. Als Hauptstützer im Kreditbereich genießt Venus eine einzigartige ökologische Unterstützung und Risikoversicherung, die den meisten anderen DeFi-Projekten fehlt, auch wenn dies mit Sicherheitsrisiken verbunden ist.
Aus Branchenperspektive zeigen diese Fälle die Fragilität von DeFi deutlich. Ob Orakelverzögerungen, geringe Liquidität, Preismanipulationen oder Governance-Schwachstellen – all diese Probleme sind in der Geschichte von Venus und anderen DeFi-Projekten immer wieder aufgetreten.
In hochautomatisierten DeFi-Systemen kann eine Designschwäche in einem Glied der Kette ausgenutzt werden, um komplexe Arbitrage-Angriffe durch Preis-, Liquiditäts- oder Zeitunterschiede zu konstruieren.
Venus konnte nach mehreren Krisen überleben, was vor allem auf starke ökologische Unterstützung und finanzielle Ausgleichsmechanismen zurückzuführen ist. Für die meisten DeFi-Projekte reicht jedoch eine Sicherheitslücke in Millionenhöhe aus, um das gesamte Protokoll zum Scheitern zu bringen.
Venus ist ein „Ausnahmefall“, der die Schutzfunktion eines führenden Ökosystems bestätigt, aber auch die allgemeine Fragilität der DeFi-Sicherheitsarchitektur offenbart – wenn Sicherheit nur durch „Großakteure“ abgesichert wird und nicht durch eigene Risikomanagement-Mechanismen, bleibt die wahre Sicherheit von DeFi eine große Herausforderung.
