Bonzo Lend Kehilangan $9M dalam Eksploitasi Oracle akibat Harga Palsu SAUCE, Dana Menguras Protokol

SAUCE-2,44%
HBAR-0,13%
SUPRA-1,49%

Bonzo Lend, protokol pinjam-meminjam di jaringan Hedera, kehilangan sekitar 9,05 juta dolar AS pada 11 Juli setelah seorang penyerang mengeksploitasi celah pada pihak ketiga verifikator oracle Supra. Penyerang mendorong pembaruan harga palsu untuk token SAUCE melalui verifikator dengan mengirim tanda tangan yang diserahkan semuanya bernol yang divalidasi secara keliru, sehingga harga SAUCE menggelembung kira-kira hingga dua belas orde besaran. Eksploitasi itu memungkinkan penyerang meminjam dengan jaminan senilai sebagian kecil dari pinjaman yang diambil, menguras kumpulan pinjam-meminjam protokol. Hedera mengonfirmasi insiden ini terisolasi pada verifikator oracle eksternal dan tidak mengompromikan konsensus jaringan maupun layanan inti. Supra mengakui kelemahan verifikasi tersebut dan menerapkan perbaikan pada kontrak yang terdampak di mainnet Hedera.

Penyerang Mengeksploitasi Verifikator Oracle Supra pada 11 Juli

Serangan dimulai sekitar pukul 00:51 UTC pada 11 Juli, menurut laporan insiden Bonzo. Dompet yang diberi label Wallet A oleh tim mengirim pembaruan harga yang ditandatangani menggunakan tanda tangan yang diserahkan semuanya bernol, yang diterima oleh verifikator Supra sebagai valid. Pembaruan itu menetapkan harga SAUCE menjadi 1 diikuti tiga puluh nol, dibanding harga pasar sebenarnya sekitar 0,2 HBAR, sehingga nilai token menggelembung kira-kira hingga dua belas orde besaran. Dengan jaminan SAUCE yang dipatok pada level tersebut, dompet itu menguras kumpulan pinjam-meminjam protokol.

Tanda Tangan Diserahkan Semua Bernol Mengakali Proses Verifikasi

Laporan Bonzo menelusuri kegagalan tersebut ke cara verifikator Supra memeriksa tanda tangan. "Precompile pairing diminta apakah suatu persamaan tertentu berlaku, dan ia menjawab dengan benar ya. Verifikator Supra kemudian memperlakukan 'ya' itu sebagai bukti tanda tangan komite yang valid, padahal itu tidak pernah terjadi," demikian bunyi laporan tersebut. Tim menekankan bahwa kontrak mereka sendiri memberi harga jaminan dan menghitung kapasitas pinjam persis sesuai yang dikodekan: "Tidak pernah ada titik ketika kontrak Bonzo Lend mengalami malfungsi." Hedera mendukung penjelasan itu, menyatakan kegagalan terjadi di hulu pada lapisan oracle dan bahwa konsensus jaringan serta layanan inti tidak dikompromikan.

Dompet White-Hat Berkomitmen Mengembalikan 1 Juta Dolar AS

Dompet kedua mengambil sekitar 1 juta dolar AS dengan memanfaatkan celah yang sama. Dompet tersebut sejak itu telah menghubungi tim, mengidentifikasi dirinya sebagai penanggap white-hat, dan berkomitmen mengembalikan dana, kata Bonzo. Tim mengecualikan jumlah ini dari angka kerugian utama di judul.

Bonzo Menangguhkan Produk Saat TVL Turun 78 Persen

Bonzo menjeda produk Lend dan Points setelah eksploit, sementara produk Vaults, Bridge, dan staking tetap beroperasi. Total nilai yang terkunci (TVL) di protokol turun dari sekitar 14,3 juta dolar AS pada 10 Juli menjadi sekitar 3,2 juta dolar AS pada 12 Juli, penurunan kira-kira 78 persen, menurut data DefiLlama. Tim mengatakan mereka berkoordinasi dengan penanggap white-hat untuk pengembalian dana dan menyusun ketentuan untuk mengangkat jeda serta membuka kembali penarikan bagi penyedia likuiditas. Supra menerapkan perbaikan pada kontrak yang terdampak di mainnet Hedera dan sedang bekerja sama dengan peneliti keamanan untuk menganalisis serangan tersebut.

FAQ

Apa yang menyebabkan eksploit Bonzo Lend pada 11 Juli?
Eksploit terjadi ketika seorang penyerang mengirim pembaruan harga untuk token SAUCE dengan tanda tangan yang diserahkan semuanya bernol, yang diterima secara keliru sebagai valid oleh verifikator oracle pihak ketiga Supra. Ini memungkinkan penyerang menggelembungkan harga SAUCE hingga kira-kira dua belas orde besaran dan meminjam sekitar 9,05 juta dolar AS dengan jaminan senilai sebagian kecil dari pinjaman yang diambil.

Bagaimana Hedera dan Supra merespons eksploit oracle?
Hedera mengonfirmasi insiden tersebut terisolasi pada verifikator oracle eksternal dan menyatakan konsensus jaringan serta layanan inti tidak dikompromikan. Supra mengakui kelemahan verifikasi dan menerapkan perbaikan pada kontrak yang terdampak di mainnet Hedera, serta sedang bekerja dengan peneliti keamanan untuk menganalisis serangan tersebut.

Apa yang terjadi pada total nilai terkunci (TVL) Bonzo Lend setelah eksploit?
Total nilai yang terkunci di Bonzo Lend turun dari sekitar 14,3 juta dolar AS pada 10 Juli menjadi sekitar 3,2 juta dolar AS pada 12 Juli, turun kira-kira 78 persen menurut data DefiLlama. Protokol menjeda produk Lend dan Points, sementara produk Vaults, Bridge, dan staking tetap beroperasi.

Penafian: Informasi di halaman ini mungkin berasal dari sumber pihak ketiga dan hanya untuk referensi. Ini tidak mewakili pandangan atau pendapat Gate dan bukan merupakan nasihat keuangan, investasi, atau hukum. Perdagangan aset virtual melibatkan risiko tinggi. Mohon jangan hanya mengandalkan informasi di halaman ini saat membuat keputusan. Untuk detailnya, lihat Penafian.
Komentar
0/400
Tidak ada komentar