Уязвимость оракула Supra и манипуляция стоимостью обеспечения
Злоумышленник использовал критическую ошибку в верификаторе стороннего сервиса Supra, который принял поддельное обновление стоимости активов с обнуленной подписью вместо легитимного подтверждения со стороны уполномоченного комитета. Это позволило хакеру искусственно завысить баланс своего залога и опустошить кредитные пулы проекта. Kommersant
В ходе эксплойта атакующий внес в качестве обеспечения всего 250 токенов SAUCE, реальная рыночная стоимость которых составляла несколько долларов. Переданные в оракул скомпрометированные данные увеличили цену залога примерно в триллион раз. Смарт-контракты кредитной платформы отработали штатно по заложенной логике, автоматически рассчитав огромный лимит займа на основе некорректных внешних сведений. Forklog
Масштаб ущерба и реакция экосистемы Hedera
Используя фиктивное обеспечение, киберпреступник мгновенно занял 6,63 млн USDC и 34,5 млн wHBAR. На фоне инцидента общая заблокированная стоимость (TVL) внутри протокола Bonzo Lend обвалилась на 77%, а совокупный показатель децентрализованных финансов во всей сети Hedera сократился почти на 40%. Разработчики оперативно отреагировали на инцидент, полностью заморозив работу кредитных рынков и программы начисления баллов.
Часть похищенных средств злоумышленник уже успел перевести в экосистему Ethereum через кроссчейн-мост LayerZero. Тем не менее, команда стартапа сохраняет шансы на частичный возврат капитала. Один из адресов, который вывел около 1 млн долларов во время аномального ценового окна, публично объявил себя «белым хакером» и пообещал вернуть активы администраторам.
Хронология инцидентов и системные риски оракулов
Безопасность современных децентрализованных приложений все чаще зависит не от внутреннего кода, а от надежности внешних инфраструктурных элементов. Исторический анализ кибератак показывает, что манипуляции ценовыми потоками становятся излюбленным методом хакеров из-за высокой концентрации ликвидности в смарт-контрактах. Процесс развития кризиса выглядел следующим образом:
- Нарушение проверки подписей на стороне поставщика данных Supra.
- Внесение минимального легитимного залога в токенах SAUCE.
- Передача манипулированной стоимости и завышение баланса в триллион раз.
- Вывод миллионов долларов в стабильных монетах и обернутых токенах сети Hedera.
- Экстренная остановка сервисов Bonzo Finance для предотвращения дальнейших потерь.
Подобные инциденты подчеркивают уязвимость межсетевой архитектуры. Эксперты напоминают, что в феврале аналогичный сбой на блокчейне Stellar привел к потере около 10 млн долларов, что подтверждает системный характер проблемы верификации внешних данных.
Частые вопросы
Почему произошел взлом DeFi-протокола Bonzo Lend?
Инцидент стал следствием сбоя в системе верификации цен стороннего оракула Supra. Злоумышленник использовал поддельное обновление стоимости активов с обнуленной подписью, что позволило искусственно завысить залог и вывести ликвидность из кредитных пулов.
Есть ли шансы на возврат украденных средств?
Частичный возврат капитала возможен. Один из адресов, участвовавших в аномальной торговле, публично признал себя «белым хакером» и пообещал компенсировать $1 млн, что позволило исключить эту сумму из общей оценки ущерба.
Безопасны ли сейчас средства пользователей в протоколе Bonzo Lend?
Разработчики оперативно отреагировали на атаку, полностью заморозив работу кредитных рынков и программу начисления баллов. Хранилища, мосты и стейкинг-сервисы продолжают функционировать в штатном режиме, а поставщик оракулов уже выпустил исправление критической уязвимости.