Bonzo Lend thiệt hại ước tính 9 triệu USD sau sự cố thao túng oracle trên Hedera
Tóm tắt thị trường bằng AI
Khoản lỗ khoảng 9 triệu USD của Bonzo Lend trên Hedera làm nổi bật rủi ro dai dẳng về oracle DeFi và xác minh giá sau khi một bản cập nhật SAUCE bị thao túng cho phép vay quá mức USDC và HBAR được bọc. Dù Bonzo cho rằng các hợp đồng của mình và lõi Hedera không có lỗi, sự cố này củng cố rằng các thất bại của bên xác minh oracle bên thứ ba có thể nhanh chóng làm suy giảm khả năng thanh toán và niềm tin đối với các pool cho vay. Bối cảnh rộng hơn của tần suất khai thác ở mức cao có thể làm gia tăng xu hướng né tránh rủi ro trong ngắn hạn trên toàn bộ DeFi.
Mức ảnh hưởng
● Trung bình
Tài sản bị ảnh hưởng
BTC/USDT+0.65%
Quan điểm AI · BTC/USDTQuan điểm AI
▼ Giá giảm
Khám phá ngay
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
Bonzo Lend, một giao thức cho vay trên Hedera, cho biết đã ghi nhận thiệt hại kinh tế khoảng 9 triệu USD sau khi kẻ tấn công lợi dụng cơ chế định giá token để thổi phồng giá trị tài sản thế chấp. Theo báo cáo sự cố sơ bộ đăng ngày thứ Bảy, kẻ tấn công đã thao túng giá SAUCE thông qua nguồn dữ liệu oracle, từ đó vay rút thanh khoản vượt xa giá trị thực của tài sản gửi vào.
Bonzo cho biết kẻ tấn công ban đầu nạp 250 SAUCE làm tài sản thế chấp, vốn "chỉ đáng vài USD" theo định giá thông thường. Sau đó, kẻ này gửi một bản cập nhật giá khiến giá SAUCE được báo cáo tăng khoảng 12 bậc độ lớn. Khi mức giá bị thổi phồng được hệ thống chấp nhận, kẻ tấn công đã vay 6,63 triệu USDC và 34,5 triệu wrapped HBAR từ pool thanh khoản của Bonzo.
Các điểm chính: Bonzo Lend ước tính tác động kinh tế vào khoảng 9 triệu USD do giá SAUCE bị thao túng cho phép vay vượt mức. Sự cố được truy vết tới lớp oracle verifier on-chain của Supra khi chấp nhận một bản cập nhật giá đã bị can thiệp với chữ ký bị đưa về 0. Bonzo nhấn mạnh vấn đề không xuất phát từ lỗi trong hợp đồng của giao thức và không liên quan tới mạng lõi Hedera. Vụ việc một lần nữa cho thấy "điểm gãy" quen thuộc của DeFi: lỗ hổng oracle có thể biến tài sản giá trị thấp thành đòn bẩy rút tiền. Bonzo cũng liên hệ tới một vụ tấn công định giá tài sản thế chấp tương tự nhằm vào một pool cho vay trên Stellar hồi đầu năm 2026.
Khoản thế chấp nhỏ vì sao dẫn tới thất thoát lớn
Báo cáo mô tả lỗ hổng xoay quanh cách định giá tài sản thế chấp. Các giao thức cho vay phụ thuộc vào nguồn giá chính xác để xác định hạn mức vay dựa trên tài sản ký quỹ. Nếu oracle có thể bị thao túng, hoặc logic xác thực không đủ chặt, các rào chắn thế chấp trên thực tế có thể bị vô hiệu.
Theo Bonzo, ví của kẻ tấn công thực hiện theo hai bước: (1) nạp 250 SAUCE làm tài sản thế chấp; (2) gửi bản cập nhật oracle tuyên bố định giá SAUCE cao bất thường, tăng khoảng 12 bậc độ lớn. Khi hệ thống tin rằng SAUCE có giá trị cao hơn nhiều lần, giao thức cho phép rút vay thanh khoản vượt xa mức mà khoản nạp ban đầu có thể bảo chứng. Tổng số tiền vay được Bonzo ghi nhận gồm 6,63 triệu USDC và 34,5 triệu wrapped HBAR.
Bonzo lưu ý hạ tầng vận hành nền tảng của giao thức vẫn hoạt động như thiết kế, nhưng giả định về giá bị xâm phạm đã tạo ra khoảng lệch giữa giá trị tài sản thế chấp và quy mô khoản vay.
Lỗi ở oracle verifier của Supra
Bonzo quy trách nhiệm sự cố cho một lỗi trong oracle verifier on-chain của Supra. Theo giao thức, verifier đã chấp nhận một bản cập nhật giá SAUCE bị thao túng với chữ ký bị đưa về 0, khiến nguồn giá được cập nhật mà không qua xác thực mật mã đúng cách. Bonzo cho biết Supra đã thừa nhận vấn đề và triển khai bản vá.
Giao thức đồng thời nhấn mạnh đây không phải lỗ hổng trong hợp đồng của Bonzo Lend và không liên quan tới mạng nền Hedera. Với người dùng và các bên tích hợp, khác biệt này mang ý nghĩa lớn: ngay cả khi logic cho vay và lớp đồng thuận ổn định, các thành phần oracle bên thứ ba hoặc lớp xác minh đi kèm vẫn có thể tạo ra lỗ hổng nghiêm trọng. Theo Bonzo, an ninh oracle không chỉ là cung cấp giá đúng, mà còn phải bảo đảm dữ liệu đầu vào là xác thực và chống can thiệp.
Áp lực an ninh DeFi ngày càng rõ
Sự cố của Bonzo diễn ra trong bối cảnh an ninh DeFi bị soi xét gắt gao. Cointelegraph từng đưa tin quý II là quý có số vụ tấn công nhiều nhất theo số lượng sự cố, với 83 vụ khai thác và khoảng 755 triệu USD bị đánh cắp. Trong đó, tấn công cầu nối cross-chain chiếm 351 triệu USD, còn các vụ bị xâm phạm quyền quản trị và thao túng giá token giả chiếm 37% tổng thiệt hại theo quý.
Dữ liệu hệ sinh thái cũng cho thấy áp lực lan rộng. Cointelegraph ghi nhận tổng giá trị khóa (TVL) của DeFi giảm 39% xuống trên 70 tỷ USD vào tháng 6, từ khoảng 115 tỷ USD hồi tháng 1. CryptoRank thống kê 121 vụ hack với tổng thiệt hại khoảng 942 triệu USD trong giai đoạn này, cho thấy các sự cố lặp lại có thể làm suy giảm niềm tin và thúc đẩy dòng vốn rời khỏi một số mảng của thị trường.
Trong bối cảnh đó, mô-típ thao túng tài sản thế chấp qua oracle tiếp tục lặp lại: kẻ tấn công nhắm vào cơ chế "bảo chứng" mô hình rủi ro của giao thức. Khi giả định định giá bị phá vỡ, các cơ chế thanh lý và hệ số thế chấp có thể không đủ để bảo vệ thanh khoản của nhà cung cấp.
Không phải lần đầu: vụ tương tự trên Stellar
Báo cáo của Bonzo cũng gợi lại một vụ khai thác định giá tài sản thế chấp nhằm vào một pool cho vay trên Stellar. Tháng 2, kẻ tấn công đã rút khoảng 10 triệu USD từ một pool cho vay do YieldBlox DAO quản lý sau khi thao túng đường dẫn giá được dùng để định giá tài sản thế chấp USTRY, qua đó vay vượt giá trị thực. Cointelegraph từng đưa tin về vụ việc này và chỉ ra điểm tương đồng: can thiệp đầu vào giá mà giao thức tin cậy để tính toán hạn mức vay.
Tần suất lặp lại cho thấy khi DeFi mở rộng trên nhiều chain và nhiều loại tài sản, điểm yếu cốt lõi vẫn thường nằm ở chỗ hệ thống phụ thuộc vào giá bên ngoài. Việc xác thực oracle cần được coi là hạ tầng an ninh trọng yếu, không phải một thành phần "hàng hóa" có thể lắp ghép tùy tiện.
Điều cần theo dõi tiếp theo
Theo báo cáo sự cố, trọng tâm khắc phục trước mắt tập trung vào lớp oracle verifier, với Supra cho biết đã triển khai biện pháp khắc phục. Thị trường sẽ theo dõi liệu cơ chế xác minh mới có ngăn được các kiểu vượt qua kiểm tra chữ ký hoặc xác thực price feed trong các tích hợp khác hay không, cùng khả năng Bonzo thực hiện thêm kiểm toán hoặc thay đổi nhà cung cấp oracle khi DeFi tiếp tục đối mặt với các sự cố an ninh.
Bài viết gốc được đăng với tiêu đề "Bonzo Lend Reports $9M Loss After Oracle Exploit on Hedera" trên Crypto Breaking News – nguồn tin về crypto, Bitcoin và cập nhật blockchain.