L’essentiel : le 15 mars 2026, Venus Protocol sur BNB Chain subit une attaque sophistiquée sur son marché THE (Thena). L’attaquant utilise un donation attack pour contourner le supply cap : il transfère directement des tokens THE au contrat vTHE au lieu de passer par le minting standard, gonflant artificiellement sa position collatéral à 3,67 fois la limite intentée. Avec ce collatéral surdimensionné, il emprunte ensuite 6,67 M CAKE, 1,58 M USDC, 2 801 BNB et ~20 wBTC, soit environ 14,9 M$ d’actifs. La préparation a duré 9 mois : l’attaquant accumulait des THE depuis juin 2025 pour contrôler 84 % du supply cap. Pertes finales : 3,7 M$ pour le protocole + 2 M$ de bad debt. Venus a réagi en gelant 6 marchés collateral et en lançant un post-mortem détaillé. C’est l’illustration d’une vulnérabilité connue des forks Compound : la mauvaise validation des dépôts via transferts directs.
Que s’est-il passé le 15 mars 2026 ?
Venus Protocol est l’un des principaux protocoles de lending DeFi sur BNB Chain depuis 2020. Fork de Compound v2, il propose des marchés de prêt sur dizaines d’actifs : BNB, BUSD, ETH, BTCB, CAKE, USDC et de nombreux altcoins BSC. Au moment de l’attaque, sa TVL approchait 1,8 Md$, dont environ 30 M$ sur le marché THE.
Le 15 mars 2026, un attaquant exécute une série de transactions sophistiquées sur le marché Thena (THE) de Venus. Selon Halborn, l’attaque dure quelques minutes mais repose sur 9 mois de préparation préalable.
L’attaquant avait commencé à accumuler des tokens THE en juin 2025, soit 9 mois avant l’exploit. À cette date, il contrôlait environ 84 % de la supply cap que Venus avait fixée pour le marché THE. Cette accumulation patiente était nécessaire parce que le mécanisme de l’attaque exigeait une position massive en THE.
Le 15 mars, l’attaquant déclenche le donation attack (cf. plus bas) qui contourne le supply cap, gonfle sa position collatéral à 3,67x la limite normale, et lui permet d’emprunter massivement. Selon The Defiant, l’attaquant emprunte au total :
- 6,67 millions de CAKE (le token natif de PancakeSwap).
- 1,58 million d’USDC (stablecoin).
- 2 801 BNB (le token natif BNB Chain).
- ~20 wBTC (Bitcoin wrappé).
Total emprunté : environ 14,9 M$. L’attaquant n’a aucune intention de rembourser, donc Venus se retrouve avec ces fonds sortis de son protocole et un collatéral THE artificiel sans valeur réelle.
Le donation attack expliqué
Le donation attack est un vecteur d’attaque connu sur les forks Compound depuis plusieurs années. Le principe : exploiter la différence entre le dépôt standard (via la fonction mint) et le transfert direct au contrat de marché.
Sur Compound et ses forks (Venus inclus), chaque actif a un vToken correspondant (vTHE pour THE, vCAKE pour CAKE, etc.) qui représente la part de l’utilisateur dans le pool de liquidité. Normalement :
- L’utilisateur appelle
mint(amount)sur le vToken. - Le contrat vToken transfère
amountde l’actif sous-jacent au TokenSafe. - Le contrat émet le bon nombre de vTokens à l’utilisateur, calculé selon le ratio actuel de l’actif dans le pool.
- Le supply cap est vérifié : si le total déposé dépasserait la limite, la transaction
revert.
Le donation attack contourne l’étape 4. Au lieu d’appeler mint, l’attaquant transfère directement les tokens THE au contrat vTHE (c’est techniquement possible sur n’importe quel ERC-20). Cette opération n’est pas une « dépôt » au sens du protocole, donc le supply cap n’est pas vérifié. Mais le balance interne du contrat vTHE augmente, ce qui modifie le ratio de calcul.
Ensuite, l’attaquant appelle mint avec un petit montant. Le ratio de calcul a été manipulé par la donation préalable, ce qui lui donne beaucoup plus de vTokens que ce qu’il aurait normalement obtenus. Sa position collatéral apparaît alors comme massive (3,67x la cap), permettant des emprunts disproportionnés.
Selon BlockSec, c’est un pattern qui avait déjà été identifié sur d’autres forks Compound (Cream Finance 2021, Hundred Finance 2023). La défense connue est de toujours vérifier le supply cap dans la fonction accrueInterest (qui est appelée à chaque interaction), pas seulement dans mint. Venus n’avait pas implémenté cette défense.
Pour les bases sur les pools de liquidité DeFi, voyez Pool de liquidité DeFi.
Les 9 mois de préparation
Ce qui rend ce hack particulièrement sophistiqué, c’est la patience de l’attaquant. Selon l’analyse BeInCrypto, l’accumulation des tokens THE a commencé en juin 2025, soit 9 mois avant l’exploit du 15 mars 2026.
La logique : pour exécuter le donation attack, l’attaquant avait besoin de contrôler une part substantielle de la supply cap. Il n’aurait pas pu acheter cette quantité en quelques jours sans faire bouger le marché et alerter les défenseurs. En accumulant patiemment sur 9 mois, il a évité toute détection préalable.
Cette pattern de « slow accumulation puis attack » est devenue typique de groupes sophistiqués comme Lazarus (DPRK) ou des hackers indépendants high-skill. Elle ressemble à la mécanique du hack Drift Protocol (1er avril 2026), où la préparation sociale avait commencé fin 2025.
L’implication pour la sécurité DeFi : les attaques ne sont plus opportunistes mais planifiées. Les protocoles doivent surveiller non seulement les transactions immédiates, mais aussi les patterns d’accumulation sur 6-12 mois. C’est un défi technique majeur, la plupart des outils de monitoring sécurité actuels ne sont pas conçus pour ce type d’analyse long-terme.
La réponse Venus : 6 marchés gelés
Suite à la détection de l’exploit, Venus Protocol a réagi rapidement. Selon BeInCrypto, l’équipe a immédiatement :
Gelé 6 marchés collateral. Les marchés THE, et 5 autres altcoins identifiés comme potentiellement vulnérables au même vecteur (donation attack), ont été suspendus. Les utilisateurs ne pouvaient plus déposer ni emprunter sur ces marchés, mais leurs positions existantes étaient préservées.
Publié un post-mortem détaillé. La gouvernance Venus a publié sur community.venus.io un post-mortem technique complet avec analyse on-chain, identification du vecteur, et plan de remediation.
Lancé un patch contracts. Une mise à jour des contrats Venus pour intégrer la vérification supply cap dans accrueInterest a été déployée dans les semaines suivantes, après audit par des cabinets externes.
Couvert le bad debt via la réserve. Les 2 M$ de bad debt résiduel ont été absorbés par la réserve Venus (~30 M$ à l’époque), évitant l’impact direct sur les utilisateurs des autres marchés.
Cette réponse rapide et professionnelle a évité une crise de confiance majeure. Le token XVS (gouvernance Venus) a chuté d’environ 8 % dans les jours suivant l’attaque, mais a récupéré dans le mois grâce à la communication transparente.
La leçon supply cap : pattern Compound forks
Le hack Venus n’est pas un cas isolé. C’est le dernier d’une série de donation attacks sur les forks Compound :
| Date | Protocole | Montant | Vecteur |
|---|---|---|---|
| Octobre 2021 | Cream Finance | 130 M$ | Flash loan + price oracle manipulation |
| Avril 2023 | Hundred Finance | 7,4 M$ | Donation + read-only reentrancy |
| Décembre 2023 | Onyx Protocol | 2,1 M$ | Donation attack classique |
| Mars 2026 | Venus Protocol | 3,7 M$ | Donation + supply cap bypass |
Le pattern technique est toujours similaire : exploiter la différence entre le balance interne du contrat (manipulable via transfer direct) et le tracking comptable interne (modifié seulement via mint/burn). Les défenses connues existent :
- Vérification du supply cap dans
accrueInterest. - Validation que le balance interne correspond au tracking comptable.
- Implémentation du pattern « donation-resistant vault » (utilisé par Yearn V3, Aave V3+).
Mais beaucoup de forks Compound ont gardé le code originel sans incorporer ces défenses. Venus a payé le prix de cette dette technique.
L’analyse eAnd résume : « le donation attack est une vulnérabilité de classe sur les forks Compound, et chaque fork doit l’auditer spécifiquement avant déploiement ». La leçon est cruciale pour tous les protocoles de lending DeFi.
Que retenir pour les utilisateurs DeFi
Quatre conclusions pratiques pour un utilisateur retail français.
Privilégier les protocoles audités contre donation attacks. Aave V3 et V4, Compound V3, Spark Protocol ont tous implémenté des défenses contre ce vecteur. Pour Venus, Cream, Hundred, Onyx, Maple et autres forks Compound v2, vérifier explicitement la présence de patches dédiés. La page « Security » du site officiel doit le mentionner.
Méfiance des marchés altcoins peu liquides. Sur Venus comme sur d’autres lending blue chips, les marchés blue chip (BNB, ETH, BUSD, USDC) sont rarement attaqués. Ce sont les marchés altcoins peu liquides (THE, CAKE secondary, et autres tokens secondaires) qui sont vulnérables aux donation attacks. Limiter votre exposition à ces marchés.
Surveiller les freezes annoncés post-incident. Quand un protocole gèle des marchés (comme Venus a fait pour 6 marchés), vos positions existantes peuvent être bloquées temporairement. Pas de panique, mais surveiller les annonces officielles pour le timing de déblocage.
Préférer Aave V4 ou Compound V3 pour les gros montants. Ces protocoles blue chips ont des architectures modernes (cf. notre article sur Aave V4) avec audits OpSec et donation attack defenses. Pour des montants 50 K$+, ils sont préférables aux forks plus exotiques.
Pour les bases sur le DeFi et la sécurité, voyez nos guides Revenus passifs crypto : staking, lending, DeFi et stratégies et Protéger vos cryptomonnaies contre les pirates.
Qu’est-ce qu’un donation attack exactement ?
Une vulnérabilité spécifique aux forks Compound v2. Le principe : exploiter la différence entre le balance interne du contrat (manipulable via transfer direct ERC-20) et le tracking comptable interne (modifié seulement via les fonctions mint/burn). En transférant directement des tokens au contrat sans passer par mint, l’attaquant manipule le ratio de calcul des vTokens, ce qui lui donne ensuite plus de tokens que la quantité légitime attendrait, ou contourne les supply caps. Cette vulnérabilité est connue depuis 2021.
Mes dépôts sur Venus sont-ils en danger ?
Non, sauf si vous étiez exposé sur l’un des 6 marchés gelés (THE et 5 autres altcoins). Les marchés blue chip (BNB, ETH, BTCB, USDC, BUSD) n’ont pas été touchés. Pour vérifier votre situation : connectez votre wallet à app.venus.io et regardez le statut de vos positions. Si elles sont sur des marchés gelés, attendez l’annonce officielle de déblocage. Le bad debt résiduel a été absorbé par la réserve Venus, donc pas de socialisation des pertes pour les autres utilisateurs.
Pourquoi 9 mois de préparation pour 3,7 M$ ?
L’attaquant avait besoin de contrôler 84 % de la supply cap THE pour exécuter le donation attack avec un impact maximal. Acheter cette quantité en quelques jours aurait fait bouger le prix de THE significativement, alertant les défenseurs et possiblement déclenchant des changements de supply cap par la gouvernance Venus. En accumulant patiemment sur 9 mois (juin 2025 – mars 2026), l’attaquant a évité ces deux risques. C’est un pattern récurrent en 2026 : les attaques opportunistes laissent place à des attaques planifiées.
Aave est-il vulnérable au même vecteur ?
Non, pas dans ses versions V3 et V4. Aave a implémenté plusieurs défenses anti-donation attack depuis 2022 : vérification supply cap dans accrueInterest, balance check dans les fonctions critiques, isolation mode pour les actifs volatils. Cf. notre article sur Aave V4 pour plus de détails sur l’architecture sécurisée. Compound V3 a également patché ces vecteurs. Les protocoles vulnérables restent les forks Compound v2 qui n’ont pas migré vers v3 (Venus, Hundred Finance, Onyx, etc.).
L’attaquant Venus a-t-il été identifié ?
Pas publiquement à ce jour. Le mode opératoire (préparation 9 mois, sophistication technique, blanchiment via plusieurs DEX) ressemble à des campagnes Lazarus ou à des hackers individuels high-skill, mais sans attribution confirmée. Les fonds (CAKE, USDC, BNB, wBTC) ont été swappés et bridgés via THORChain et autres protocoles cross-chain pour échapper aux freezes. La récupération à postériori reste très improbable.
Le token XVS Venus est-il un bon investissement post-hack ?
Cet article ne fait pas de recommandation d’investissement. Sur le plan factuel : XVS a chuté de ~8 % suite au hack puis récupéré dans le mois grâce à la communication transparente. Le protocole reste opérationnel avec une TVL significative. Les facteurs à considérer : qualité de la réaction (positive), absorption du bad debt (positive), patches de sécurité (en cours), gouvernance active (oui). Le risque résiduel : un autre exploit similaire reste possible si tous les marchés vulnérables ne sont pas patches. Due diligence individuelle obligatoire avant investissement.
Que retenir du hack Venus
Le hack Venus du 15 mars 2026 est moins remarquable par son montant (3,7 M$, modeste) que par sa mécanique sophistiquée. Il illustre trois leçons pour la DeFi 2026.
Les forks Compound v2 sont systématiquement vulnérables. Cream, Hundred, Onyx, Venus : la liste s’allonge. Tant que ces protocoles ne migrent pas vers des architectures modernes (Compound V3, Aave V4) ou n’implémentent pas explicitement les défenses anti-donation, ils restent des cibles privilégiées. Pour un utilisateur, c’est un signal de prudence sur ces protocoles.
La préparation long-terme devient la norme. Step Finance (compromission 9 mois préalable), Drift Protocol (social engineering automne 2025), Venus (accumulation 9 mois). Les attaquants 2026 ne sont plus opportunistes mais planifient leurs coups sur 6-12 mois. Les défenseurs doivent surveiller des patterns historiques, pas juste des transactions immédiates.
La transparence post-mortem est devenue un standard. Venus a réagi rapidement avec un post-mortem complet, freeze des marchés, et patches. C’est devenu le standard d’attendu pour qu’un protocole conserve la confiance de la communauté. Les protocoles qui essaient de cacher ou minimiser les hacks paient le prix dans la durée (cf. Step Finance qui a fermé après son hack).
Pour aller plus loin, voyez aussi nos articles sur Aave V4, le hack Truebit, le hack CrossCurve, le hack IoTeX, et le hack Foom Cash.
