Bonzo Lend Kehilangan 9 Juta Dolar dalam Eksploitasi Manipulasi Oracle di Hedera

HBAR-0,12%
SAUCE-0,57%
SUPRA0,63%
USDC0,01%

Protokol lending berbasis Hedera Bonzo Lend kehilangan sekitar 9 juta dolar AS setelah seorang penyerang memanipulasi harga token SAUCE yang digunakan sebagai jaminan (collateral), sehingga memungkinkan akun untuk meminjam aset jauh melampaui nilai yang disetor. Dalam laporan insiden awal yang diterbitkan pada Sabtu, Bonzo menyebut pelanggaran ini disebabkan oleh kelemahan pada on-chain oracle verifier milik Supra, yang menerima harga SAUCE yang sudah dimanipulasi dengan tanda tangan yang dinolkan (zeroed). Eksploitasi itu terjadi pada kuartal kedua, yang menjadi kuartal dengan insiden terbanyak yang tercatat: 83 insiden dan sekitar 755 juta dolar AS dicuri di seluruh platform keuangan terdesentralisasi (DeFi).

Penyerang Menyetor 250 SAUCE dan Meminjam 6,63 Juta Dolar AS melalui Harga Oracle yang Dimanipulasi

Penyerang menyetor 250 token SAUCE, yang nilainya hanya beberapa dolar, sebelum mengajukan pembaruan harga yang menggelembungkan nilai token tersebut kira-kira sebesar 12 order besaran. Dompet kemudian meminjam 6,63 juta USDC dan 34,5 juta wrapped HBAR dari kumpulan (pool) lending. Setelah oracle menerima harga yang diinflasi, setoran bernilai rendah penyerang terlihat mampu mendukung kapasitas pinjaman senilai jutaan dolar AS.

Bonzo menyatakan insiden tersebut tidak disebabkan oleh kerentanan pada smart contract Bonzo Lend atau jaringan inti Hedera. Protokol itu mengatakan Supra telah mengakui masalah dan menerapkan perbaikan.

Oracle Verifier Supra Menerima Tanda Tangan yang Dinolkan, Memungkinkan Penilaian Jaminan Palsu

Kegagalan oracle sangat berbahaya dalam lending terdesentralisasi karena nilai jaminan menentukan seberapa banyak pengguna dapat meminjam. Jika sebuah protokol menerima harga palsu, protokol tersebut bisa memperlakukan jaminan yang hampir tidak bernilai sebagai cukup untuk pinjaman besar. Penyerang tidak perlu merusak pool lending secara langsung—penyerang hanya perlu meyakinkan protokol bahwa jaminan bernilai jauh lebih tinggi daripada nilai pasar aslinya.

Setoran awal SAUCE hanya bernilai sedikit, tetapi harga yang dimanipulasi mengubahnya menjadi sumber kekuatan pinjaman besar yang tampak nyata. Pool lending kemudian melepas aset likuid terhadap jaminan yang tidak dapat menutupi utang. Banyak protokol berfokus pada audit smart contract dan logika aplikasi, tetapi pasar lending hanya seaman sistem penetapan harga yang mereka andalkan.

Kuartal Kedua Mencatat 83 Eksploit DeFi dan Kerugian 755 Juta Dolar AS

Kuartal kedua mencatat 83 eksploit dan sekitar 755 juta dolar AS dicuri. Eksploit jembatan lintas-rantai (cross-chain bridge) menyumbang 351 juta dolar AS, sementara serangan administrator yang dikompromikan dan manipulasi harga token palsu masing-masing mewakili 37% dari kerugian kuartalan. CryptoRank mencatat 121 peretasan dan sekitar 942 juta dolar AS kerugian selama periode tersebut.

Kapital juga terus keluar dari sektor ini. Total nilai terkunci DeFi turun 39% menjadi lebih dari 70 miliar dolar AS pada bulan Juni dari sekitar 115 miliar dolar AS pada Januari. Insiden keamanan yang berulang kemungkinan membebani kepercayaan pengguna dan memperkuat arus keluar modal.

YieldBlox di Stellar Kehabisan 10 Juta Dolar AS pada Februari melalui Manipulasi Harga yang Serupa

Pada Februari, penyerang menguras sekitar 10 juta dolar AS dari pool lending yang dikelola YieldBlox DAO setelah memanipulasi jalur (price path) yang digunakan untuk menilai jaminan USTRY. Manipulasi tersebut memungkinkan mereka meminjam aset di luar nilai riil token tersebut. Kesamaannya penting karena menunjukkan kelemahan oracle dan price-path tidak terbatas pada satu rantai atau satu pasar lending saja.

Setiap protokol yang menerima nilai jaminan dari sistem eksternal harus melindungi diri terhadap harga palsu, feed yang sudah usang, kegagalan tanda tangan, likuiditas tipis, dan jalur routing yang dimanipulasi. Verifikasi oracle, batas jaminan (collateral caps), circuit breakers, dan mekanisme pause cepat adalah pertahanan utama untuk menghentikan serangan yang mengubah setoran kecil menjadi klaim besar atas likuiditas.

FAQ

Apa penyebab kerugian 9 juta dolar AS pada Bonzo Lend?
Bonzo Lend kehilangan kira-kira 9 juta dolar AS setelah seorang penyerang memanipulasi harga token SAUCE yang digunakan sebagai jaminan. Penyerang menyetor 250 token SAUCE yang nilainya hanya beberapa dolar, lalu mengirim pembaruan harga yang menggelembungkan nilai token tersebut kira-kira sebesar 12 order besaran, sehingga memungkinkan peminjaman 6,63 juta USDC dan 34,5 juta wrapped HBAR. Bonzo mengaitkan insiden ini pada kelemahan pada Supra on-chain oracle verifier, yang menerima harga SAUCE yang dimanipulasi dengan tanda tangan yang dinolkan (zeroed).

Berapa banyak eksploit DeFi yang terjadi pada kuartal kedua?
Kuartal kedua mencatat 83 eksploit dengan sekitar 755 juta dolar AS dicuri di seluruh platform keuangan terdesentralisasi. Eksploit jembatan lintas-rantai menyumbang 351 juta dolar AS dari total tersebut, sementara serangan administrator yang dikompromikan dan manipulasi harga token palsu mewakili 37% dari kerugian kuartalan. CryptoRank mencatat 121 peretasan dan sekitar 942 juta dolar AS kerugian pada periode yang sama.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar