Preise werden geladen…
🩸BEARISH

Bonzo Lend verliert $9 Mio. durch Hedera-Oracle-Exploit

Ein einzelner Preisfehler auf Verifier-Seite ermöglichte es einem Angreifer, auf Hederas größtem Lending-Markt ungedeckte Kreditkraft über $9M zu erzeugen.

Ein Hedera-Lending-Protokoll verlor am Dienstag rund $9.05 Millionen, nachdem ein Angreifer eine Schwachstelle in einem Supra-Oracle-Verifier ausgenutzt hatte, um einen massiv überhöhten Preis für den SAUCE-Token einzureichen und anschließend gegen die Phantom-Sicherheiten Kredite aufzunehmen.

Bonzo Lend, Hederas größter Lending-Markt, pausierte nach dem Vorfall seine Contracts und sein Punkteprogramm. Supra bestätigte, dass der Fehler im SAUCE/USD-Verifier lag, und erklärte, er sei inzwischen behoben. Eine zweite Wallet nahm im selben Zeitfenster zusätzlich rund $1 Million auf, gab sich jedoch als White Hat zu erkennen und erklärte, die Mittel zurückgeben zu wollen.

Warum das wichtig ist

Oracle-Exploits bleiben die verlässlichste Angriffsfläche im DeFi-Lending, und das Muster ist hier die klassische Variante: Preisfeed manipulieren, gegen aufgeblähte Sicherheiten leihen, mit der Liquidität verschwinden. Die Besonderheit ist, dass der Fehler auf der Verifier-Seite lag, nicht auf Protokollseite. Damit war jeder Handelsplatz, der diesen konkreten Supra-Preisstream las, im selben Zeitfenster exponiert.

Bonzo Lend hat bislang keinen Post-Mortem-Bericht veröffentlicht und nicht erklärt, ob Treasury-Mittel eingesetzt werden, um Einleger vollständig zu entschädigen. SAUCE, der native Token der Hedera-DEX SaucerSwap, war der einzige manipulierte Vermögenswert.

Marktauswirkungen

Hederas HBAR-Token und SAUCE gaben nach der Offenlegung beide nach, auch wenn die Reaktion des breiteren Markts begrenzt blieb. Die Rückgabe der $1 Million durch den White Hat würde, falls sie erfolgt, den Nettoverlust auf rund $8 Millionen senken. Der größere Belastungsfaktor ist die Vertrauensfrage: Bonzo und Supra bilden den zentralen Lending- und Oracle-Stack auf Hedera, und beide tragen nun in derselben Woche einen Vorfall.

Verwandte Tokens
$HBAR $SAUCE

Häufig gestellte Fragen

  1. Wie konnte der Angreifer Bonzo Lend leerräumen?

    Der Angreifer nutzte eine Schwachstelle in einem Supra-Oracle-Verifier aus, um einen massiv überhöhten Preis für den SAUCE-Token einzureichen. Anschließend lieh er rund $9.05 Millionen gegen die Phantom-Sicherheiten.

  2. Welche Rolle spielte das Supra-Oracle bei dem Exploit?

    Der Fehler lag im SAUCE/USD-Verifier, nicht in Bonzo Lend selbst. Supra bestätigte die Schwachstelle und erklärte, sie sei inzwischen behoben.

  3. Hat ein White Hat einen Teil der gestohlenen Mittel gesichert?

    Eine zweite Wallet nahm im selben Zeitfenster zusätzlich rund $1 Million auf, gab sich als White Hat zu erkennen und erklärte, die Mittel zurückgeben zu wollen.

  4. Hat Bonzo Lend den Betrieb wieder aufgenommen?

    Nein. Bonzo Lend pausierte nach dem Vorfall seine Contracts und sein Punkteprogramm und hat keinen Zeitplan für eine Wiederaufnahme angekündigt.

  5. Werden Einleger von Bonzo Lend vollständig entschädigt?

    Bonzo hat bislang keinen Post-Mortem-Bericht veröffentlicht und nicht erklärt, ob Treasury-Mittel genutzt werden, um Einleger für den Verlust von rund $9.05 Millionen zu entschädigen.

Quellenangabe
Aggregiert von TheBlock · Verifiziert · Zuletzt aktualisiert vor 43m
Original öffnen →