Bonzo Lend perde 9 milhões de dólares num exploit de manipulação do Oracle da Hedera

HBAR-0,54%
SAUCE-0,72%
SUPRA-1,51%

O protocolo de concessão de empréstimos Bonzo Lend, baseado na Hedera, perdeu aproximadamente 9 milhões de dólares após um atacante manipular o preço dos tokens SAUCE usados como garantia, permitindo que a conta contrair ativos muito acima do valor depositado. Num relatório preliminar do incidente publicado no sábado, a Bonzo atribuiu a violação a uma falha no verificador do oráculo em cadeia da Supra, que aceitou um preço manipulado da SAUCE com uma assinatura anulada. O exploit ocorreu no segundo trimestre, que se tornou o trimestre com mais ataques registados, com 83 incidentes e cerca de 755 milhões de dólares roubados em plataformas de finanças descentralizadas.

Atacante depositou 250 SAUCE e contraiu 6,63 milhões de dólares via preço de oráculo manipulado

O atacante depositou 250 tokens SAUCE, avaliados apenas em alguns dólares, antes de enviar uma atualização de preço que inflacionou o valor do token em cerca de 12 ordens de magnitude. A carteira contraiu depois 6,63 milhões de USDC e 34,5 milhões de HBAR embrulhado (wrapped) a partir do pool de empréstimos. Assim que o oráculo aceitou o preço inflacionado, o depósito do atacante, de baixo valor, pareceu suportar capacidade de empréstimo de milhões de dólares.

A Bonzo afirmou que o incidente não foi causado por uma vulnerabilidade nos contratos inteligentes do Bonzo Lend nem na rede central da Hedera. O protocolo disse que a Supra reconheceu o problema e implementou uma correção.

O verificador do oráculo da Supra aceitou uma assinatura anulada, permitindo a falsa valorização da garantia

As falhas do oráculo são particularmente perigosas em concessões de empréstimos descentralizadas, porque os valores das garantias determinam quanto os utilizadores podem contrair. Se um protocolo aceitar um preço falso, pode tratar quase sem valor como segurança suficiente para grandes empréstimos. O atacante não precisa de quebrar diretamente o pool de empréstimos — basta convencer o protocolo de que a garantia vale muito mais do que o seu valor real de mercado.

O depósito inicial de SAUCE valia apenas uma pequena quantia, mas o preço manipulado transformou-o num aparente motor de poder de endividamento massivo. O pool de empréstimos libertou então ativos líquidos contra garantias que não conseguiam suportar a dívida. Muitos protocolos focam-se em auditorias de contratos inteligentes e na lógica da aplicação, mas os mercados de empréstimos só são tão seguros quanto os sistemas de preços em que se apoiam.

Segundo trimestre registou 83 explorações de DeFi e 755 milhões de dólares em perdas

O segundo trimestre teve 83 explorações e cerca de 755 milhões de dólares roubados. Explorações de pontes entre cadeias (cross-chain bridge) representaram 351 milhões de dólares, enquanto ataques a administradores comprometidos e manipulação falsa do preço de tokens representaram 37% das perdas do trimestre. A CryptoRank registou 121 hacks e cerca de 942 milhões de dólares em perdas no período.

O capital também tem estado a abandonar o setor. O valor total bloqueado (TVL) do DeFi caiu 39%, para mais de 70 mil milhões de dólares em junho, face a cerca de 115 mil milhões de dólares em janeiro. Incidentes de segurança repetidos terão provavelmente pesado na confiança dos utilizadores e reforçado as saídas de capital.

YieldBlox na Stellar esvaziado de 10 milhões de dólares em fevereiro via manipulação semelhante do preço

Em fevereiro, os atacantes drenaram cerca de 10 milhões de dólares de um pool de concessão de empréstimos gerido por um DAO da YieldBlox, após manipularem o percurso de preços usado para avaliar a garantia USTRY. Essa manipulação permitiu-lhes contrair ativos para além do valor real do token. A semelhança é importante porque mostra que fraquezas no oráculo e no percurso do preço não estão isoladas numa cadeia nem num único mercado de empréstimos.

Qualquer protocolo que aceite valores de garantia a partir de sistemas externos tem de se proteger contra preços falsos, feeds desatualizados, falhas de assinatura, liquidez reduzida e caminhos de encaminhamento (routing) manipulados. A verificação do oráculo, limites de garantia (collateral caps), disjuntores (circuit breakers) e mecanismos rápidos de pausa (pause) são defesas centrais contra ataques que transformam pequenos depósitos em grandes reivindicações sobre a liquidez.

FAQ

O que causou a perda de 9 milhões de dólares da Bonzo Lend?
A Bonzo Lend perdeu aproximadamente 9 milhões de dólares após um atacante manipular o preço dos tokens SAUCE usados como garantia. O atacante depositou 250 tokens SAUCE, avaliados apenas em alguns dólares, e enviou uma atualização de preço que inflacionou o valor do token em cerca de 12 ordens de magnitude, permitindo contrair 6,63 milhões de USDC e 34,5 milhões de HBAR embrulhado (wrapped). A Bonzo atribuiu o incidente a uma falha no verificador do oráculo em cadeia da Supra, que aceitou um preço manipulado da SAUCE com uma assinatura anulada.

Quantas explorações de DeFi ocorreram no segundo trimestre?
O segundo trimestre registou 83 explorações, com cerca de 755 milhões de dólares roubados em plataformas de finanças descentralizadas. Explorações de pontes entre cadeias (cross-chain bridge) representaram 351 milhões de dólares do total, enquanto ataques a administradores comprometidos e manipulação falsa do preço de tokens representaram 37% das perdas do trimestre. A CryptoRank registou 121 hacks e cerca de 942 milhões de dólares em perdas no mesmo período.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário