Eine auf null gesetzte Oracle-Signatur ermöglichte es einem Angreifer, rund $9M aus Bonzo Lend abzuziehen, einem DeFi-Kreditmarkt im Hedera-Netzwerk, indem er das Protokoll dazu brachte, falsch bepreiste Sicherheiten zu akzeptieren.
Warum das wichtig ist
Der Fehler lag im Pfad der Oracle-Signatur, nicht im Preis selbst. Indem der Angreifer einen Teil der von ihm erzeugten Signatur auf null setzte, akzeptierte der Contract die Daten offenbar als gültig und ließ den Kreditnehmer Vermögenswerte gegen Sicherheiten abziehen, die das System nicht verlässlich bewerten konnte. Es ist dieselbe Fehlerfamilie, die EVM-Kreditmärkte seit Jahren belastet, und nun gibt es ein dokumentiertes Hedera-Gegenstück.
Marktauswirkungen
Tokenisierte Aktien und andere nicht-native Sicherheiten sind die nächste Grenze für DeFi-Kreditmärkte, und Bonzo Lend arbeitete in diese Richtung. Der Exploit zeigt, dass eine 1:1-Deckung nicht ausreicht, wenn Wrapper, Vault und Oracle-Pfad manipuliert werden können. Für Hedera DeFi, das einen kleinen, aber aktiven Kredit-Stack aufgebaut hat, ist der Vorfall ein Rückschlag für die Glaubwürdigkeit, gerade während das institutionelle Interesse am Netzwerk zunimmt.
Häufig gestellte Fragen
-
Was ist Bonzo Lend?
Bonzo Lend ist ein DeFi-Protokoll für Kreditvergabe und Kreditaufnahme im Hedera-Netzwerk. Nutzer können Krypto-Assets bereitstellen, um Rendite zu erzielen, und gegen hinterlegte Sicherheiten leihen, ähnlich wie bei Aave oder Compound auf anderen Chains.
-
Wie konnte der Angreifer $9M aus Bonzo Lend abziehen?
Der Angreifer übermittelte eine Oracle-Datenlast mit einem auf null gesetzten Signaturfeld. Der Smart Contract behandelte die fehlerhafte, aber akzeptierte Signatur offenbar als gültig und ließ den Kreditnehmer dann Kredite gegen Sicherheiten aufnehmen, die das Protokoll nicht verlässlich bepreisen konnte.
-
War der Bonzo-Lend-Exploit eine Manipulation des Preis-Oracles?
Teilweise. Der Preisfeed selbst wurde nicht direkt manipuliert; stattdessen umging der Angreifer den Authentifizierungsschritt, der belegt, dass Oracle-Daten aus einer vertrauenswürdigen Quelle stammen. Das Ergebnis für das Protokoll ist ähnlich, aber der Angriffsvektor ist die Signaturprüfung, nicht der zugrunde…
-
Hat der Bonzo-Lend-Exploit das Hedera-Netzwerk selbst betroffen?
Nein. Hederas Konsensschicht und der HBAR-Token liefen normal weiter. Der Schaden blieb auf die Smart Contracts von Bonzo Lend und dessen Einleger begrenzt, die durch die unterbesicherten Kredite notleidenden Forderungen ausgesetzt sind.
-
Was passiert nach dem Exploit mit Nutzern von Bonzo Lend?
Nutzer, die Bonzo Lend Liquidität bereitgestellt haben, dürften Verluste erleiden, während das Protokoll notleidende Forderungen abarbeitet, etwa über eine Governance-Abstimmung, eine Token-Ausgabe zur Deckung der Lücke oder sozialisierte Verluste unter Einlegern. Die Erholungspläne hängen davon ab, was das Bonzo-Team…