Ein Hedera-Lending-Protokoll verlor am Dienstag rund $9.05 Millionen, nachdem ein Angreifer eine Schwachstelle in einem Supra-Oracle-Verifier ausgenutzt hatte, um einen massiv überhöhten Preis für den SAUCE-Token einzureichen und anschließend gegen die Phantom-Sicherheiten Kredite aufzunehmen.
Bonzo Lend, Hederas größter Lending-Markt, pausierte nach dem Vorfall seine Contracts und sein Punkteprogramm. Supra bestätigte, dass der Fehler im SAUCE/USD-Verifier lag, und erklärte, er sei inzwischen behoben. Eine zweite Wallet nahm im selben Zeitfenster zusätzlich rund $1 Million auf, gab sich jedoch als White Hat zu erkennen und erklärte, die Mittel zurückgeben zu wollen.
Warum das wichtig ist
Oracle-Exploits bleiben die verlässlichste Angriffsfläche im DeFi-Lending, und das Muster ist hier die klassische Variante: Preisfeed manipulieren, gegen aufgeblähte Sicherheiten leihen, mit der Liquidität verschwinden. Die Besonderheit ist, dass der Fehler auf der Verifier-Seite lag, nicht auf Protokollseite. Damit war jeder Handelsplatz, der diesen konkreten Supra-Preisstream las, im selben Zeitfenster exponiert.
Bonzo Lend hat bislang keinen Post-Mortem-Bericht veröffentlicht und nicht erklärt, ob Treasury-Mittel eingesetzt werden, um Einleger vollständig zu entschädigen. SAUCE, der native Token der Hedera-DEX SaucerSwap, war der einzige manipulierte Vermögenswert.
Marktauswirkungen
Hederas HBAR-Token und SAUCE gaben nach der Offenlegung beide nach, auch wenn die Reaktion des breiteren Markts begrenzt blieb. Die Rückgabe der $1 Million durch den White Hat würde, falls sie erfolgt, den Nettoverlust auf rund $8 Millionen senken. Der größere Belastungsfaktor ist die Vertrauensfrage: Bonzo und Supra bilden den zentralen Lending- und Oracle-Stack auf Hedera, und beide tragen nun in derselben Woche einen Vorfall.
Häufig gestellte Fragen
-
Wie konnte der Angreifer Bonzo Lend leerräumen?
Der Angreifer nutzte eine Schwachstelle in einem Supra-Oracle-Verifier aus, um einen massiv überhöhten Preis für den SAUCE-Token einzureichen. Anschließend lieh er rund $9.05 Millionen gegen die Phantom-Sicherheiten.
-
Welche Rolle spielte das Supra-Oracle bei dem Exploit?
Der Fehler lag im SAUCE/USD-Verifier, nicht in Bonzo Lend selbst. Supra bestätigte die Schwachstelle und erklärte, sie sei inzwischen behoben.
-
Hat ein White Hat einen Teil der gestohlenen Mittel gesichert?
Eine zweite Wallet nahm im selben Zeitfenster zusätzlich rund $1 Million auf, gab sich als White Hat zu erkennen und erklärte, die Mittel zurückgeben zu wollen.
-
Hat Bonzo Lend den Betrieb wieder aufgenommen?
Nein. Bonzo Lend pausierte nach dem Vorfall seine Contracts und sein Punkteprogramm und hat keinen Zeitplan für eine Wiederaufnahme angekündigt.
-
Werden Einleger von Bonzo Lend vollständig entschädigt?
Bonzo hat bislang keinen Post-Mortem-Bericht veröffentlicht und nicht erklärt, ob Treasury-Mittel genutzt werden, um Einleger für den Verlust von rund $9.05 Millionen zu entschädigen.