Bonzo Lend perde US$ 9 milhões em exploit de manipulação de oráculo na Hedera

HBAR-0,54%
SAUCE-0,72%
SUPRA-1,51%

Protocolo de empréstimos Bonzo Lend, baseado na Hedera, perdeu aproximadamente US$ 9 milhões após um invasor manipular o preço dos tokens SAUCE usados como garantia, permitindo que a conta tomasse empréstimos muito acima do valor depositado. Em um relatório preliminar do incidente publicado no sábado, a Bonzo atribuiu a violação a uma falha no verificador de oráculo on-chain da Supra, que aceitou um preço manipulado de SAUCE com uma assinatura zerada. O exploit ocorreu no segundo trimestre, que se tornou o trimestre mais explorado já registrado, com 83 incidentes e cerca de US$ 755 milhões roubados em plataformas de finanças descentralizadas.

Invasor Depositou 250 SAUCE e Tomou Empréstimo de US$ 6,63 Milhões via Preço de Oráculo Manipulado

O invasor depositou 250 tokens SAUCE, que valiam apenas alguns dólares, antes de enviar uma atualização de preço que inflou o valor do token em cerca de 12 ordens de magnitude. Em seguida, a carteira tomou emprestados 6,63 milhões de USDC e 34,5 milhões de HBAR tokenizado (wrapped) a partir do pool de empréstimos. Assim que o oráculo aceitou o preço inflado, o depósito de baixo valor do invasor pareceu sustentar uma capacidade de empréstimo na casa dos milhões.

A Bonzo afirmou que o incidente não foi causado por uma vulnerabilidade nos contratos inteligentes do Bonzo Lend ou na rede principal (core) da Hedera. O protocolo disse que a Supra reconheceu o problema e implantou uma correção.

Verificador de Oráculo da Supra Aceitou Assinatura Zerada, Permitindo Avaliação Falsa da Garantia

Falhas de oráculo são especialmente perigosas em empréstimos descentralizados porque os valores das garantias determinam quanto os usuários podem tomar emprestado. Se um protocolo aceitar um preço falso, ele pode tratar uma garantia quase sem valor como segurança suficiente para grandes empréstimos. O invasor não precisa quebrar diretamente o pool de empréstimos—ele só precisa convencer o protocolo de que a garantia vale muito mais do que seu valor real de mercado.

O depósito inicial de SAUCE valia apenas uma pequena quantia, mas o preço manipulado o transformou em uma fonte aparente de grande poder de empréstimo. O pool de empréstimos então liberou ativos líquidos contra uma garantia que não conseguia sustentar a dívida. Muitos protocolos focam em auditorias de contratos inteligentes e lógica de aplicação, mas mercados de empréstimos só são tão seguros quanto os sistemas de precificação em que se baseiam.

Segundo Trimestre Registrou 83 Exploits DeFi e US$ 755 Milhões em Perdas

O segundo trimestre teve 83 exploits e cerca de US$ 755 milhões roubados. Exploits de pontes entre cadeias (cross-chain) responderam por US$ 351 milhões, enquanto ataques a administradores comprometidos e manipulação de preço de tokens falsos representaram 37% das perdas do trimestre. A CryptoRank registrou 121 hacks e cerca de US$ 942 milhões em perdas no período.

O capital também tem saído do setor. O valor total bloqueado (TVL) do DeFi caiu 39%, para mais de US$ 70 bilhões em junho, ante cerca de US$ 115 bilhões em janeiro. Incidentes de segurança recorrentes provavelmente pesaram na confiança dos usuários e reforçaram a saída de capital.

YieldBlox na Stellar teve US$ 10 Milhões Drenados em Fevereiro via Manipulação Semelhante de Preço

Em fevereiro, invasores drenaram aproximadamente US$ 10 milhões de um pool de empréstimos gerido por um DAO da YieldBlox após manipularem a trajetória de preço usada para valorar a garantia em USTRY. Essa manipulação permitiu que eles tomassem emprestados ativos além do valor real do token. A semelhança é importante porque mostra que fraquezas do oráculo e do caminho de preço não estão isoladas a uma única cadeia ou a um único mercado de empréstimos.

Qualquer protocolo que aceite valores de garantia de sistemas externos deve se proteger contra preços falsos, feeds desatualizados, falhas de assinatura, liquidez baixa e caminhos de roteamento manipulados. Verificação de oráculo, limites de garantia, circuit breakers e mecanismos rápidos de pausa são defesas centrais contra ataques que transformam pequenos depósitos em grandes reivindicações sobre a liquidez.

FAQ

O que causou a perda de US$ 9 milhões da Bonzo Lend?
A Bonzo Lend perdeu aproximadamente US$ 9 milhões após um invasor manipular o preço dos tokens SAUCE usados como garantia. O invasor depositou 250 tokens SAUCE, que valiam apenas alguns dólares, e então enviou uma atualização de preço que inflou o valor do token em cerca de 12 ordens de magnitude, permitindo a captação (borrowing) de 6,63 milhões de USDC e 34,5 milhões de HBAR tokenizado (wrapped). A Bonzo atribuiu o incidente a uma falha no verificador de oráculo on-chain da Supra, que aceitou um preço manipulado de SAUCE com uma assinatura zerada.

Quantos exploits de DeFi ocorreram no segundo trimestre?
O segundo trimestre registrou 83 exploits, com cerca de US$ 755 milhões roubados nas plataformas de finanças descentralizadas. Exploits de pontes entre cadeias (cross-chain) responderam por US$ 351 milhões do total, enquanto ataques a administradores comprometidos e manipulação de preço de tokens falsos representaram 37% das perdas do trimestre. A CryptoRank registrou 121 hacks e cerca de US$ 942 milhões em perdas no mesmo período.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários