O protocolo de concessão de empréstimos Bonzo Lend, baseado na Hedera, perdeu aproximadamente 9 milhões de dólares após um atacante manipular o preço dos tokens SAUCE usados como garantia, permitindo que a conta contrair ativos muito acima do valor depositado. Num relatório preliminar do incidente publicado no sábado, a Bonzo atribuiu a violação a uma falha no verificador do oráculo em cadeia da Supra, que aceitou um preço manipulado da SAUCE com uma assinatura anulada. O exploit ocorreu no segundo trimestre, que se tornou o trimestre com mais ataques registados, com 83 incidentes e cerca de 755 milhões de dólares roubados em plataformas de finanças descentralizadas.
O atacante depositou 250 tokens SAUCE, avaliados apenas em alguns dólares, antes de enviar uma atualização de preço que inflacionou o valor do token em cerca de 12 ordens de magnitude. A carteira contraiu depois 6,63 milhões de USDC e 34,5 milhões de HBAR embrulhado (wrapped) a partir do pool de empréstimos. Assim que o oráculo aceitou o preço inflacionado, o depósito do atacante, de baixo valor, pareceu suportar capacidade de empréstimo de milhões de dólares.
A Bonzo afirmou que o incidente não foi causado por uma vulnerabilidade nos contratos inteligentes do Bonzo Lend nem na rede central da Hedera. O protocolo disse que a Supra reconheceu o problema e implementou uma correção.
As falhas do oráculo são particularmente perigosas em concessões de empréstimos descentralizadas, porque os valores das garantias determinam quanto os utilizadores podem contrair. Se um protocolo aceitar um preço falso, pode tratar quase sem valor como segurança suficiente para grandes empréstimos. O atacante não precisa de quebrar diretamente o pool de empréstimos — basta convencer o protocolo de que a garantia vale muito mais do que o seu valor real de mercado.
O depósito inicial de SAUCE valia apenas uma pequena quantia, mas o preço manipulado transformou-o num aparente motor de poder de endividamento massivo. O pool de empréstimos libertou então ativos líquidos contra garantias que não conseguiam suportar a dívida. Muitos protocolos focam-se em auditorias de contratos inteligentes e na lógica da aplicação, mas os mercados de empréstimos só são tão seguros quanto os sistemas de preços em que se apoiam.
O segundo trimestre teve 83 explorações e cerca de 755 milhões de dólares roubados. Explorações de pontes entre cadeias (cross-chain bridge) representaram 351 milhões de dólares, enquanto ataques a administradores comprometidos e manipulação falsa do preço de tokens representaram 37% das perdas do trimestre. A CryptoRank registou 121 hacks e cerca de 942 milhões de dólares em perdas no período.
O capital também tem estado a abandonar o setor. O valor total bloqueado (TVL) do DeFi caiu 39%, para mais de 70 mil milhões de dólares em junho, face a cerca de 115 mil milhões de dólares em janeiro. Incidentes de segurança repetidos terão provavelmente pesado na confiança dos utilizadores e reforçado as saídas de capital.
Em fevereiro, os atacantes drenaram cerca de 10 milhões de dólares de um pool de concessão de empréstimos gerido por um DAO da YieldBlox, após manipularem o percurso de preços usado para avaliar a garantia USTRY. Essa manipulação permitiu-lhes contrair ativos para além do valor real do token. A semelhança é importante porque mostra que fraquezas no oráculo e no percurso do preço não estão isoladas numa cadeia nem num único mercado de empréstimos.
Qualquer protocolo que aceite valores de garantia a partir de sistemas externos tem de se proteger contra preços falsos, feeds desatualizados, falhas de assinatura, liquidez reduzida e caminhos de encaminhamento (routing) manipulados. A verificação do oráculo, limites de garantia (collateral caps), disjuntores (circuit breakers) e mecanismos rápidos de pausa (pause) são defesas centrais contra ataques que transformam pequenos depósitos em grandes reivindicações sobre a liquidez.
O que causou a perda de 9 milhões de dólares da Bonzo Lend?
A Bonzo Lend perdeu aproximadamente 9 milhões de dólares após um atacante manipular o preço dos tokens SAUCE usados como garantia. O atacante depositou 250 tokens SAUCE, avaliados apenas em alguns dólares, e enviou uma atualização de preço que inflacionou o valor do token em cerca de 12 ordens de magnitude, permitindo contrair 6,63 milhões de USDC e 34,5 milhões de HBAR embrulhado (wrapped). A Bonzo atribuiu o incidente a uma falha no verificador do oráculo em cadeia da Supra, que aceitou um preço manipulado da SAUCE com uma assinatura anulada.
Quantas explorações de DeFi ocorreram no segundo trimestre?
O segundo trimestre registou 83 explorações, com cerca de 755 milhões de dólares roubados em plataformas de finanças descentralizadas. Explorações de pontes entre cadeias (cross-chain bridge) representaram 351 milhões de dólares do total, enquanto ataques a administradores comprometidos e manipulação falsa do preço de tokens representaram 37% das perdas do trimestre. A CryptoRank registou 121 hacks e cerca de 942 milhões de dólares em perdas no mesmo período.
Notícias relacionadas
Agentes de IA da Ethereum Foundation descobrem uma vulnerabilidade CVE-2026-34219 no código da libp2p
A Ledger Donjon revela uma vulnerabilidade na redefinição da palavra-passe do cartão Tangem através de um ataque a laser
Immunefi: Nos primeiros seis meses de 2023, ocorreram 207 ataques de hackers no setor das criptomoedas, com perdas no valor de 972 milhões de dólares
Negociador perde 1 milhão de dólares num ataque de phishing com Permit2 na Uniswap