Bonzo Lend estimează pierderi de 9 milioane de dolari după un atac prin manipularea unui oracle pe Hedera
Rezumat al pieței generat de AI
Pierderea de ~9 milioane USD a Bonzo Lend pe Hedera evidențiază riscul persistent din DeFi legat de oracole și de verificarea prețurilor, după ce o actualizare SAUCE manipulată a permis împrumuturi disproporționat de mari de USDC și HBAR înfășurat. Deși Bonzo susține că contractele sale și nucleul Hedera nu au fost de vină, incidentul întărește ideea că eșecurile verificatorilor de oracole terți pot afecta rapid solvabilitatea și încrederea în pool-urile de creditare. Contextul mai larg al unei frecvențe ridicate a exploatărilor ar putea intensifica aversiunea la risc pe termen scurt în întregul DeFi.
Nivelul impactului
● Mediu
Active afectate
BTC/USDT+0.42%
Perspectivă AI · BTC/USDTPerspectivă AI
▼ Bearish
Tranzacționează acum
⚠️ Perspectivele generate de AI se bazează pe conținutul știrilor și sunt furnizate exclusiv în scop informativ. Nu constituie consiliere de investiții și nu reprezintă opiniile BingX. Investițiile implică risc. Tranzacționează responsabil.
Protocolul de creditare Bonzo Lend, construit pe Hedera, a raportat o pierdere economică estimată la circa 9 milioane de dolari, după ce un atacator a exploatat mecanismul de stabilire a prețului tokenurilor folosit la evaluarea colateralului. Potrivit unui raport preliminar publicat sâmbătă, atacul a vizat prețul tokenului SAUCE transmis printr-un feed de tip oracle, iar manipularea a permis împrumuturi mult peste valoarea reală a activelor depuse ca garanție.
Bonzo susține că atacatorul a început prin depunerea a 250 SAUCE, o cantitate evaluată în mod normal la doar câțiva dolari. Ulterior, a fost trimisă o actualizare de preț care a umflat valoarea raportată a SAUCE cu aproximativ 12 ordine de mărime. Pe baza acestui preț artificial, portofelul atacatorului a împrumutat 6,63 milioane USDC și 34,5 milioane wrapped HBAR din pool-ul de lichiditate al protocolului.
În rezumat, Bonzo indică faptul că supraîmprumutarea a devenit posibilă deoarece sistemul a acceptat un preț SAUCE manipulat. Echipa afirmă că problema a fost urmărită până la verifier-ul on-chain al oracle-ului Supra, care ar fi validat o actualizare de preț alterată, cu o semnătură "zeroed" (nulă), permițând modificarea feed-ului fără verificarea criptografică necesară. Bonzo precizează că exploitul nu a fost cauzat de vulnerabilități în contractele sale și nu este legat de rețeaua de bază Hedera.
Incidentul readuce în prim-plan un punct vulnerabil recurent în DeFi: slăbiciunile din zona oracolelor pot transforma un colateral cu valoare redusă într-un instrument de retragere a lichidității. Bonzo compară situația cu un caz similar din 2026, când un pool de creditare pe Stellar a fost atacat prin manipularea prețului colateralului.
Cum a ajuns o garanție mică să producă un drenaj major
Raportul descrie o exploatare centrată pe evaluarea colateralului. În mod obișnuit, protocoalele de lending depind de feed-uri de preț corecte pentru a stabili cât poate împrumuta un utilizator în funcție de activele depuse. Dacă un oracle poate fi manipulat sau dacă logica de verificare este insuficientă, controalele de colateral pot fi ocolite în practică. În cazul Bonzo, secvența descrisă este în doi pași: depunerea a 250 SAUCE și apoi trimiterea unei actualizări de preț care a ridicat masiv evaluarea SAUCE, cu aproximativ 12 ordine de mărime. Odată ce sistemul a "crezut" noul preț, a permis împrumuturi peste ceea ce ar fi justificat depozitul inițial.
Defecțiunea din verifier-ul oracle-ului
Bonzo atribuie incidentul unei deficiențe din verifier-ul on-chain al Supra. Conform protocolului, componenta de verificare a acceptat o actualizare de preț SAUCE manipulată, însoțită de o semnătură nulă, ceea ce a permis actualizarea feed-ului fără validarea criptografică adecvată. Bonzo afirmă că Supra a recunoscut problema și a implementat un remediu. Pentru utilizatori și integratori, distincția dintre logica de lending, rețeaua de bază și componentele terțe contează: chiar dacă mecanismele interne și consensul rețelei funcționează normal, oracolele sau straturile lor de verificare pot crea breșe critice.
Presiune tot mai mare pe securitatea DeFi
Cazul Bonzo apare pe fondul intensificării atenției asupra securității în DeFi. Potrivit informațiilor citate, trimestrul al doilea a fost cel mai afectat ca număr de incidente: 83 de exploituri și aproximativ 755 milioane de dolari furați. În această statistică, atacurile asupra bridge-urilor cross-chain au însumat 351 milioane de dolari, iar compromiterea conturilor de administrator și manipularea prețurilor tokenurilor "false" au reprezentat 37% din pierderile trimestriale.
Datele la nivel de ecosistem indică, de asemenea, tensiuni: TVL-ul DeFi ar fi scăzut cu 39% până la peste 70 miliarde de dolari în iunie, de la circa 115 miliarde de dolari în ianuarie. CryptoRank a consemnat 121 de atacuri și aproximativ 942 milioane de dolari pierderi în aceeași perioadă, sugerând că repetarea incidentelor a afectat încrederea și a contribuit la ieșiri de capital.
Un tipar cunoscut: manipularea prețului colateralului
Manipularea prețului prin oracle se înscrie într-un tipar familiar: atacatorii vizează mecanismul care stă la baza modelului de risc al protocolului. Când presupunerile despre preț se prăbușesc, pragurile de lichidare și factorii de colateral pot să nu mai protejeze furnizorii de lichiditate. Bonzo amintește și de un caz de pe Stellar: în februarie, atacatori ar fi retras circa 10 milioane de dolari dintr-un pool de lending administrat de YieldBlox DAO, după ce au manipulat traseul de preț folosit pentru evaluarea colateralului USTRY, permițând împrumuturi peste valoarea reală.
Ce urmează
Potrivit raportului Bonzo, intervenția imediată s-a concentrat pe stratul de verificare al oracle-ului, iar Supra a indicat că a implementat deja o soluție. Piața va urmări dacă verificarea corectată împiedică bypass-uri similare legate de semnături sau validarea feed-urilor de preț în alte integrări și dacă vor urma audituri suplimentare ori schimbări de furnizor pentru oracole, pe măsură ce DeFi continuă să se confrunte cu incidente de securitate.