
Protokol pozajmljivanja temeljen na Hederi, Bonzo Lend, pretrpio je procijenjeni gubitak od oko 9 milijuna dolara nakon što je napadač iskoristio mehanizam određivanja cijene tokena koji se koristi za vrednovanje kolaterala. Manipulirajući cijenom SAUCE-a—podnesenom putem Oracle feed-a—napadač je uspio posuditi sredstva iz Bonzovog fonda likvidnosti koja daleko premašuju stvarnu vrijednost položenog kolaterala.
U preliminarnom izvješću o incidentu objavljenom u subotu, Bonzo je rekao da je napadač započeo polaganjem 250 SAUCE-a, što je prema protokolu opisano kao vrijedno samo nekoliko dolara prema normalnoj procjeni. Napadač je zatim poslao ažuriranu cijenu koja je napuhala prijavljenu vrijednost SAUCE-a za otprilike 12 redova veličine. Uz tu prenapuhanu cijenu, napadač je posudio 6,63 milijuna USDC i 34,5 milijuna zamotanih HBAR-a.
Ključni podaci za van
- Bonzo Lend procijenio je ekonomski učinak na otprilike 9 milijuna dolara nakon što je manipulirana cijena SAUCE omogućila prekomjerno zaduživanje.
- Prijavljeni problem povezan je s Suprinim on-chain oracle verifikatorom koji prihvaća neovlašteno ažuriranje cijene s nultim potpisom.
- Bonzo je rekao da iskorištavanje nije uzrokovano nedostacima u vlastitim ugovorima ili u Hederinoj osnovnoj mreži.
- Incident naglašava ponavljajući način kvara DeFi-ja: slabost Oraclea može pretvoriti kolateral male vrijednosti u polugu za povlačenje.
- Ovo je uslijedilo nakon sličnog napada određivanjem cijena kolaterala na fond pozajmljivanja Stellar ranije 2026.
Kako je mali kolateralni depozit doveo do velikog odljeva
Bonzovo izvješće o incidentu opisuje iskorištavanje usmjereno na procjenu kolaterala. Protokoli pozajmljivanja oslanjaju se na točne podatke o cijenama kako bi odredili koliko zajmoprimac može uzeti protiv položene imovine. Ako se proročištem cijena može manipulirati – ili ako logika provjere nije dovoljna – kolateralne provjere mogu se zaobići u praksi.
Prema Bonzu, novčanik napadača koristio je pristup u dva koraka. Prvo je položio 250 SAUCE kao kolateral. Drugo, podnio je Oracle ažurirane cijene tvrdeći znatno višu procjenu SAUCE-a, navodno napuhanu za otprilike 12 redova veličine. Nakon što je sustav povjerovao da SAUCE vrijedi dramatično više, omogućio je napadaču da povuče likvidnost daleko iznad onoga što bi izvorni depozit opravdao.
Bonzo je izvijestio o ishodu kao posudbi u ukupnom iznosu od 6,63 milijuna USDC i 34,5 milijuna omotanih HBAR-a. Iako je temeljna infrastruktura protokola nastavila funkcionirati kako je predviđeno, pretpostavka o kompromitiranoj cijeni omogućila je neusklađenost između vrijednosti kolaterala i posuđenih sredstava.
Bonzo kaže da je greška u oracle-verifikatoru omogućila exploit
Bonzo je incident pripisao grešci u Suprinom on-chain oracle verifikatoru. Protokol kaže da je verifikator prihvatio manipulirano ažuriranje cijena SAUCE koje je nosilo nulti potpis, dopuštajući da se feed cijena ažurira bez odgovarajuće kriptografske provjere.
Bonzo je također izvijestio da je Supra priznala problem i postavila popravak. U isto vrijeme, Bonzo je naglasio da događaj nije ranjivost u ugovorima Bonzo Lenda i da nije vezan uz Hederinu baznu mrežu.
Za korisnike i integratore, razlika je važna. Ističe da čak i kada su logika posuđivanja i mrežni konsenzus stabilni, komponente treće strane oracle ili verifikacijski slojevi oko njih još uvijek mogu stvoriti kritične sigurnosne rupe. Izvješće također potvrđuje da se Oracle sigurnost ne odnosi samo na ispravne cijene, već i na provođenje da su izvori autentični i otporni na neovlaštene promjene.
Zašto ovakvi incidenti postaju točka pritiska u cijelom DeFi-ju
Bonzo exploit dolazi usred pojačanog nadzora DeFi sigurnosti. Cointelegraph je ranije izvijestio da je drugo tromjesečje postalo rekordno tromjesečje s najviše hakiranja po broju incidenata, s 83 exploita i oko 755 milijuna dolara ukradenih. U tom raščlanjivanju, eksploatacije međulančanih mostova činile su 351 milijun dolara, dok su kompromitirani napadi administratora i lažna manipulacija cijenama tokena činili 37% tromjesečnih gubitaka.
Širi podaci o ekosustavu također ukazuju na napetost. Cointelegraph je izvijestio da je DeFi-jeva ukupna zaključana vrijednost (TVL) pala 39% na preko 70 milijardi dolara u lipnju, što je pad u odnosu na oko 115 milijardi dolara u siječnju. CryptoRank je zabilježio 121 hakiranje i otprilike 942 milijuna dolara gubitaka u tom razdoblju, što sugerira da su ponavljani sigurnosni događaji vjerojatno utjecali na povjerenje korisnika i pridonijeli odlasku kapitala iz dijelova sektora.
Gledano u ovom kontekstu, kolateralna manipulacija koju pokreće Oracle odgovara poznatom obrascu: napadači ciljaju na mehanizam koji jamči model rizika protokola. Kada se pretpostavke o cijenama pokvare, zaštitne mjere likvidacije i faktori kolaterala mogu propustiti zaštititi pružatelje likvidnosti.
Oracleova manipulacija cijenama nije novost: sličan slučaj Stellar
Bonzovo izvješće također odražava još jednu eksploataciju cijena kolaterala koja je bila usmjerena na skup pozajmica na Stellaru. U veljači su napadači iscijedili otprilike 10 milijuna dolara iz fonda pozajmljivanja kojim upravlja YieldBlox DAO nakon manipuliranja putanjom cijena korištenom za vrednovanje kolaterala USTRY, što je omogućilo posuđivanje iznad stvarne vrijednosti kolaterala. Cointelegraph je pokrio taj incident, bilježeći paralelnu metodu: promijenite ulazne podatke o cijenama kojima protokol posudbe vjeruje za izračun kolaterala.
Ponavljanje je značajno. Sugerira da kako se DeFi ekosustavi šire preko lanaca i vrsta imovine, ključna slaba točka često ostaje dosljedna: sustavi koji ovise o vanjskim cijenama moraju tretirati Oracle validaciju kao sigurnosno kritičnu infrastrukturu, a ne kao komponentu robe.
Što dalje gledati
Bonzovo izvješće o incidentu pokazuje da je trenutni rad na popravku bio usmjeren na sloj proročanstva za provjeru, a Supra opisuje postavljeni lijek. Investitori i graditelji će vjerojatno htjeti pratiti sprječava li ispravljena provjera Oracle-a sličnu provjeru valjanosti potpisa ili feed-a preko drugih integracija te slijede li dodatne revizije ili promjene Oracle-providera dok se DeFi nastavlja boriti sa sigurnosnim incidentima.
Ovaj je članak izvorno objavljen kao Bonzo Lend izvješćuje o gubitku od 9 milijuna dolara nakon Oracle Exploit na Hederi na Crypto Breaking News – vašem pouzdanom izvoru za kripto vijesti, vijesti o Bitcoinu i ažuriranja o blockchainu.






