Bonzo Lend 因 Hedera Oracle 預言機操縱攻擊損失 900 萬美元

HBAR-0.54%
SAUCE-0.72%
SUPRA-1.51%

以 Hedera 為基礎的借貸協議 Bonzo Lend 在遭攻擊者透過操縱作為抵押品的 SAUCE 代幣價格後,約損失 900 萬美元。這使得該帳戶能夠借到遠超過已存入價值的資產。週六發布的一份初步事件報告中,Bonzo 將這次違規歸因於 Supra 的鏈上預言機驗證器缺陷;該驗證器接受了攜帶「零化簽名」的被操縱 SAUCE 價格。該漏洞發生在第二季,該季度以 83 起事件成為有紀錄以來被駭最嚴重的季度,且約有 7.55 億美元被分散式金融平台竊取。

攻擊者存入 250 SAUCE 並透過遭操縱的預言機價格借出 663 萬美元

攻擊者存入 250 個 SAUCE 代幣,價值僅幾美元;在提交價格更新之前,該更新將該代幣的價值膨脹約 12 個數量級。隨後,該錢包從借貸池借出 663 萬 USDC,以及 3450 萬 wrapped HBAR。一旦預言機接受了被膨脹的價格,攻擊者低價值的存入款就看似足以支撐數百萬美元的借款能力。

Bonzo 表示,這起事件並非由 Bonzo Lend 的智慧合約漏洞或 Hedera 核心網路的漏洞所導致。該協議表示 Supra 已確認問題並部署修復。

Supra 預言機驗證器接受「零化簽名」,使錯誤的抵押品估值成真

預言機失敗在分散式借貸中特別危險,因為抵押品價值決定使用者能借到多少。如果協議接受了錯誤價格,它就可能把幾乎毫無價值的抵押品當作足以支持大額貸款的安全性。攻擊者不需要直接破解借貸池;攻擊者只需要說服該協議,讓抵押品價值遠高於其真實市場價值。

最初的 SAUCE 存入價值僅是少量,但被操縱的價格讓它看起來成為巨額借貸能力的來源。接著,借貸池便釋放流動資產來對應那些無法承擔該債務的抵押品。許多協議著重於智慧合約稽核與應用邏輯,但借貸市場的安全性,僅有可能與其所依賴的定價系統同等。

第二季記錄 83 起 DeFi 被利用事件與 7.55 億美元損失

第二季共有 83 起漏洞利用事件,約有 7.55 億美元被偷走。跨鏈橋漏洞利用佔 3.51 億美元,而遭入侵的管理員攻擊與假代幣價格操縱占了季度損失的 37%。CryptoRank 記錄了 121 起駭入事件,且在同期約造成 9.42 億美元損失。

資本也同樣在離開這個產業。DeFi 的總鎖倉量(TVL)在 6 月較 1 月的約 1,150 億美元下降 39% 至超過 700 億美元。反覆的安全事件很可能打擊了使用者信心,並加速了資金外流。

Stellar 上的 YieldBlox 於 2 月因類似的價格操縱遭到 1000 萬美元掏空

在 2 月,攻擊者透過操縱用於為 USTRY 抵押品估值的價格路徑,從由 YieldBlox DAO 管理的借貸池中約竊走 1000 萬美元。這種操縱讓他們能借到超過該代幣真實價值的資產。這種相似性很重要,因為它顯示預言機與價格路徑的弱點並非只侷限於單一鏈或單一借貸市場。

任何從外部系統接收抵押品價值的協議,都必須防範假價格、過期訊息、簽名失敗、低流動性,以及被操縱的路由路徑。預言機驗證、抵押品上限、熔斷機制與快速暫停機制,是針對這類攻擊的關鍵防禦;這些攻擊會把小額存入轉換成對流動性的巨大索賠。

FAQ

是什麼導致 Bonzo Lend 損失 900 萬美元?
Bonzo Lend 在遭攻擊者透過操縱作為抵押品的 SAUCE 代幣價格後,約損失 900 萬美元。攻擊者存入 250 個 SAUCE 代幣(價值僅幾美元),接著提交價格更新,將該代幣價值膨脹約 12 個數量級,使其能借出 663 萬 USDC 與 3450 萬 wrapped HBAR。Bonzo 將事件歸因於 Supra 的鏈上預言機驗證器缺陷;該驗證器接受了攜帶「零化簽名」的被操縱 SAUCE 價格。

第二季發生了多少起 DeFi 漏洞利用事件?
第二季記錄了 83 起漏洞利用事件,約有 7.55 億美元被分散式金融平台竊取。跨鏈橋漏洞利用佔總額 3.51 億美元,而遭入侵的管理員攻擊與假代幣價格操縱占了季度損失的 37%。CryptoRank 記錄了同期 121 起駭入事件,且約造成 9.42 億美元損失。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆