Взлом Bonzo Lend: протокол на Hedera потерял $9 млн из-за оракула. Новости криптовалют | Bitbanker Space

Июл 12, 6:49

Factory C.

7 мин

DeFi-протокол Bonzo Lend на Hedera был взломан на $9 млн из-за уязвимости в ценовом оракуле Supra. Атака привела к обвалу TVL проекта на 77% и приостановке рабо

Взлом Bonzo Lend: протокол на Hedera потерял $9 млн из-за оракула

Механизм атаки: манипуляция ценовым оракулом

Атака на Bonzo Lend стала возможной не из-за уязвимости в смарт-контрактах самого протокола, а из-за ошибки в стороннем сервисе — ценовом оракуле от компании Supra. Злоумышленник воспользовался недостатком в механизме верификации подписей оракула, что позволило ему отправить сфальсифицированное обновление цены для токена SAUCE.

Система, полагавшаяся на автоматическое обновление цен от оракула, приняла поддельные данные без надлежащей проверки. В результате стоимость залоговых токенов SAUCE, внесенных атакующим, была искусственно завышена в тысячи раз. Это позволило ему занять ликвидные активы — **6,63 млн USDC и 34,52 млн wrapped HBAR** — под практически ничего не стоящее обеспечение. Инцидент подчеркивает, что безопасность DeFi-протокола зависит не только от его собственного кода, но и от всех внешних зависимостей.

Последствия для Bonzo Lend и экосистемы Hedera

Прямые финансовые потери протокола составили около **$9,05 млн. Сразу после обнаружения атаки команда Bonzo Lend приостановила работу всех смарт-контрактов, чтобы предотвратить дальнейший вывод средств. Инцидент оказал каскадное влияние на всю экосистему Hedera**.

Последствия эксплойта в цифрах:

  • Общая заблокированная стоимость (TVL) в Bonzo Lend рухнула на 77%.
  • Совокупный TVL сети Hedera снизился почти на 40% в течение 24 часов.

Позже с командой проекта связался владелец второго кошелька, который вывел активы на сумму около $1 млн на фоне инцидента. Он представился «белым хакером» (white hat hacker) и заявил о намерении вернуть средства. Эта сумма не включена в основной подсчет ущерба.

Хронология атаки

События развивались в быстрой последовательности, что характерно для эксплойтов, нацеленных на манипуляцию ценовыми оракулами.

  1. Злоумышленник вносит небольшой депозит в низколиквидных токенах SAUCE в протокол Bonzo Lend.
  2. Через уязвимость в верификаторе Supra отправляется сфальсифицированное обновление цены, содержащее нулевую подпись.
  3. Протокол Bonzo Lend принимает неверные данные и регистрирует многократно завышенную стоимость залога атакующего.
  4. Атакующий выводит из пулов ликвидности USDC и wHBAR на сумму, превышающую $9 млн.
  5. Команда Bonzo приостанавливает работу протокола и начинает расследование в сотрудничестве с Supra.

Системный риск оракулов в DeFi

Инцидент с Bonzo Lend — очередное напоминание о том, что ценовые оракулы остаются одним из самых уязвимых мест в архитектуре децентрализованных финансов. Протоколы кредитования полностью зависят от точности и достоверности данных о ценах для оценки залогов и управления рисками. Ошибка в одном компоненте может привести к полному истощению пулов ликвидности.

Похожий вектор атаки ранее наблюдался и в других сетях. Например, в феврале протокол YieldBlox в экосистеме Stellar потерял около $10 млн из-за манипуляции с ценовым путем для залогового актива. Это доказывает, что проблема носит системный характер и требует от разработчиков более тщательного аудита не только собственного кода, но и интеграций со сторонними поставщиками данных.

Частые вопросы

Как произошел взлом протокола Bonzo Lend?

Атака стала возможной из-за манипуляции ценовым оракулом Supra. Злоумышленник воспользовался уязвимостью в верификации подписей, чтобы отправить сфальсифицированные данные о цене токена SAUCE. Это позволило ему занять активы на $9 млн под залог с искусственно завышенной стоимостью.

Какие последствия атаки на Bonzo Lend для сети Hedera?

Эксплойт привел к значительным финансовым потерям и падению ключевых метрик экосистемы. Протокол потерял $9,05 млн, его TVL обрушился на 77%, а совокупный TVL всей сети Hedera снизился почти на 40%. Команда проекта была вынуждена приостановить работу смарт-контрактов.

В чем заключалась уязвимость оракула Supra?

Уязвимость заключалась в ошибке механизма верификации, который принял обновление цены с недействительной (нулевой) подписью. Это позволило атакующему передать в протокол Bonzo Lend сфальсифицированные данные о стоимости залогового актива, которые система приняла как достоверные.

Источники

  1. Theblock
  2. Coindesk
  3. Financefeeds
  4. Cryptonomist
  5. Phemex

Автор статьи

Content Factory AI author avatar
Content Factory

Bitbanker AI — автоматизированная редакция. Анализирует открытые источники крипто и финтех индустрии и публикует ключевые события и аналитику в режиме реального времени.

Все статьи автора