Bonzo Lend втрачає 9 мільйонів доларів через експлойт, спричинений маніпуляцією оракулом у Hedera

HBAR-0,54%
SAUCE-0,72%
SUPRA-1,51%

Кредитний протокол на основі Hedera Bonzo Lend втратив приблизно 9 мільйонів доларів після того, як атакувальник маніпулював ціною токенів SAUCE, які використовувалися як забезпечення, що дозволило акаунту позичати активи на суму, значно більшу за внесену вартість. У попередньому інцидентному звіті, опублікованому в суботу, Bonzo заявив, що інцидент стався через ваду в on-chain oracle verifier від Supra, який прийняв маніпульовану ціну SAUCE із нульованою підписом. Експлойт стався у другому кварталі, який став найбільш «взламаним» кварталом за весь час: 83 інциденти та приблизно 755 мільйонів доларів викрадено на платформах децентралізованих фінансів.

Атакувальник вніс 250 SAUCE і позичив 6,63 мільйона доларів через маніпульовану ціну оракула

Атакувальник вніс 250 токенів SAUCE, вартість яких становила лише кілька доларів, перед тим, як подати оновлення ціни, яке роздувало вартість токена приблизно на 12 порядків величини. Далі гаманець позичив 6,63 мільйона USDC і 34,5 мільйона wrapped HBAR із пулу кредитування. Щойно оракул прийняв роздутою ціну, низьковартісний депозит атакувальника став виглядати як підтримка мільйонів доларів позичальної спроможності.

Bonzo заявив, що інцидент не спричинений уразливістю в смартконтрактах Bonzo Lend чи в базовій мережі Hedera. Протокол повідомив, що Supra визнала проблему та розгорнула виправлення.

Oracle verifier Supra прийняв нульований підпис, що дозволило фальшиву оцінку забезпечення

Збої оракулів особливо небезпечні в децентралізованому кредитуванні, бо значення забезпечення визначають, скільки користувачі можуть позичити. Якщо протокол приймає хибну ціну, він може вважати майже нічого не вартісне забезпечення достатнім для великих позик. Атакувальнику не потрібно безпосередньо ламати пул кредитування — йому достатньо переконати протокол, що забезпечення варте значно більше, ніж його реальна ринкова вартість.

Початковий депозит SAUCE коштував лише невелику суму, але маніпульована ціна перетворила його на видиме джерело масивної позичальної спроможності. Після цього пул кредитування випустив ліквідні активи під забезпечення, яке не могло підтримати борг. Багато протоколів зосереджуються на аудитах смартконтрактів і логіці застосунків, але ринки кредитування безпечні лише настільки, наскільки надійні системи ціноутворення, на які вони спираються.

У другому кварталі зафіксовано 83 експлойти DeFi та 755 мільйонів доларів збитків

У другому кварталі було 83 експлойти й викрадено близько 755 мільйонів доларів. Експлойти кросчейн-мостів склали 351 мільйон, тоді як атаки на компрометованих адміністраторів і маніпуляції ціною фейкових токенів — 37% збитків за квартал. CryptoRank зафіксував 121 хаки та приблизно 942 мільйона доларів збитків за цей період.

Капітал також залишав сектор. Сукупна заблокована вартість DeFi впала на 39% — до понад 70 мільярдів доларів у червні з приблизно 115 мільярдів у січні. Повторювані інциденти безпеки, ймовірно, знизили довіру користувачів і посилили відтік капіталу.

YieldBlox у Stellar у лютому «осушив» 10 мільйонів доларів через подібну маніпуляцію ціною

У лютому атакувальники витягли приблизно 10 мільйонів доларів із пулу кредитування YieldBlox DAO після маніпуляції ціновим шляхом, який використовували для оцінки забезпечення USTRY. Ця маніпуляція дозволила їм позичати активи понад реальну вартість токена. Показова схожість, адже вона демонструє, що слабкості оракулів і цінових шляхів не обмежуються одним ланцюгом чи одним ринком кредитування.

Будь-який протокол, який приймає значення забезпечення з зовнішніх систем, має захищатися від хибних цін, застарілих фідів, збоїв підписів, тонкої ліквідності та маніпульованих маршрутів. Перевірка оракула, ліміти на забезпечення, circuit breakers і механізми швидкої зупинки — ключові захисти від атак, які перетворюють невеликі депозити на великі претензії до ліквідності.

FAQ

Що спричинило втрату 9 мільйонів доларів у Bonzo Lend?
Bonzo Lend втратив приблизно 9 мільйонів доларів після того, як атакувальник маніпулював ціною токенів SAUCE, які використовувалися як забезпечення. Атакувальник вніс 250 SAUCE на суму лише кілька доларів, а потім подав оновлення ціни, яке роздувало вартість токена приблизно на 12 порядків величини, що дозволило позичити 6,63 мільйона USDC і 34,5 мільйона wrapped HBAR. Bonzo пов’язав інцидент із вадою в on-chain oracle verifier від Supra, який прийняв маніпульовану ціну SAUCE з нульованою підписом.

Скільки експлойтів DeFi сталося в другому кварталі?
У другому кварталі зафіксовано 83 експлойти: викрадено близько 755 мільйонів доларів на платформах децентралізованих фінансів. Експлойти кросчейн-мостів склали 351 мільйон, тоді як атаки на компрометованих адміністраторів і маніпуляції ціною фейкових токенів — 37% збитків за квартал. CryptoRank зафіксував 121 хаки та приблизно 942 мільйона доларів збитків за цей період.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів