Bonzo Lend、Hederaオラクルの操作によるエクスプロイトで9百万ドルを失う

HBAR-0.12%
SAUCE-0.57%
SUPRA0.63%
USDC0.01%

ヘデラ(Hedera)を基盤にした貸付プロトコルのBonzo Lendは、攻撃者が担保として使用されるSAUCEトークンの価格を操作したことで、約900万ドルを失いました。これにより、預け入れた価値を大きく上回る資産を口座から借りられるようになりました。土曜日に公開された予備的なインシデントレポートで、Bonzoは侵害の原因を、Supraのオンチェーン・オラクル・ベリファイアの欠陥だと説明しました。このベリファイアは、ゼロ化された署名を持つ操作されたSAUCE価格を受け入れてしまったということです。今回の悪用は第2四半期に発生し、83件のインシデントが起き、DeFiプラットフォーム全体で約7億5500万ドルが盗まれた「史上最多の悪用が発生した四半期」になりました。

攻撃者は250 SAUCEを入金し、操作されたオラクル価格で663万ドルを借り入れ

攻撃者はまず、数ドル相当の250 SAUCEトークンを入金しました。その後、トークンの価値をおよそ12桁のオーダーで水増しする価格更新を送信しました。するとウォレットは、貸付プールからUSDC 663万およびwrapped HBAR 3450万を借り入れました。オラクルが水増しされた価格を受け入れた時点で、攻撃者の低額な入金は、数百万ドル規模の借入能力を支えるものに見えたのです。

Bonzoは、このインシデントはBonzo Lendのスマートコントラクトの脆弱性、またはHederaの基盤となるコア・ネットワークの問題が原因ではないと述べました。同プロトコルは、Supraが問題を認め、修正を展開したとしています。

Supraのオラクル・ベリファイアがゼロ化署名を受け入れ、誤った担保評価を可能にした

分散型貸付におけるオラクルの失敗は、とりわけ危険です。担保の価値が、ユーザーがどれだけ借りられるかを決めるためです。もしプロトコルが誤った価格を受け入れてしまうと、ほとんど価値のない担保を、大口ローンの安全性として扱えるようになります。攻撃者は貸付プールそのものを直接破壊する必要はありません。攻撃者がやるべきことは、担保が実際の市場価値よりもはるかに高いとプロトコルに信じ込ませることだけです。

最初のSAUCEの入金額はごくわずかでしたが、操作された価格によって、それが大規模な借入力の源泉であるかのように見えるようになりました。その後、貸付プールは、債務を支えられない担保に対して流動資産を放出しました。多くのプロトコルはスマートコントラクトの監査やアプリケーションロジックに注力しますが、貸付市場は依拠している価格付けシステムの安全性に同じくらい左右されます。

第2四半期はDeFiの悪用83件と7億5500万ドルの損失を記録

第2四半期には83件の悪用が発生し、約7億5500万ドルが盗まれました。クロスチェーン・ブリッジの悪用が3510万ドルを占め、侵害された管理者による攻撃および偽のトークン価格操作は四半期損失の37%を占めました。CryptoRankは、この期間に121件のハックがあり、損失は約9億4200万ドルだったと記録しています。

資金もこの分野から流出しています。DeFiの総ロック価値(TVL)は、1月の約1150億ドルから6月には39%減の700億ドル超へと落ち込みました。相次ぐセキュリティインシデントは、ユーザーの信頼感に影響し、資本流出を押し広げた可能性があります。

Stellar上のYieldBloxが2月に類似の価格操作で1000万ドルを流出

2月、攻撃者はYieldBloxのDAOが管理する貸付プールから約1000万ドルを奪いました。これは、USTRY担保の評価に使われる価格パスを操作した後に起きたものです。この操作により、攻撃者はトークンの実際の価値を超える資産を借りられるようになりました。これが重要なのは、オラクルと価格パスの弱点が1つのチェーン、または1つの貸付市場に限定された問題ではないことを示しているためです。

外部システムからの担保価値を受け入れるあらゆるプロトコルは、誤った価格、古いフィード、署名の失敗、薄い流動性、操作されたルーティングパスに対する防御を備える必要があります。オラクル検証、担保上限、サーキットブレーカー、迅速な停止(pause)メカニズムは、小さな入金を流動性に対する大きな請求へと変える攻撃に対する中心的な防御策です。

よくある質問(FAQ)

Bonzo Lendの900万ドルの損失の原因は何ですか?
Bonzo Lendは、攻撃者が担保として使用されるSAUCEトークンの価格を操作したことで、約900万ドルを失いました。攻撃者は、数ドル相当の250 SAUCEトークンを入金した後、トークンの価値をおよそ12桁のオーダーで押し上げる価格更新を送信し、その結果、USDC 663万およびラップドHBAR 3450万の借り入れが可能になりました。Bonzoは、今回のインシデントは、ゼロ化された署名を伴う操作されたSAUCE価格を受け入れてしまったSupraのオンチェーン・オラクル・ベリファイアの欠陥によるものだとしています。

第2四半期に発生したDeFiの悪用は何件ですか?
第2四半期には83件の悪用が記録され、分散型金融プラットフォーム全体で約7億5500万ドルが盗まれました。クロスチェーン・ブリッジの悪用が合計の3510万ドルを占め、侵害された管理者による攻撃および偽のトークン価格操作は四半期損失の37%を占めました。CryptoRankは、同期間に121件のハックと、損失は約9億4200万ドルだったと記録しています。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし