Bonzo Lend, el mayor protocolo de préstamos en Hedera, reveló que se drenaron aproximadamente $9,05 millones del protocolo en un exploit de oráculo. El equipo atribuyó la causa raíz a un fallo en la verificación de firmas de Supra, que permitió a un atacante falsear los feeds de precio de SAUCE y tomar prestados activos por un valor muy superior al de la garantía aportada. El protocolo ha sido pausado mientras Bonzo Labs y la Bonzo Finance Foundation coordinan la recuperación y las medidas de corrección.
Por qué importa
La brecha muestra que el riesgo en préstamos no termina en los propios contratos del protocolo. Un libro de préstamos es tan seguro como el feed de precios que activa sus comprobaciones de garantía, y cuando la capa de firmas de ese feed queda comprometida, el atacante puede pedir prestado contra una valoración que el sistema no tiene motivos para cuestionar. El exploit también golpea a Hedera, una red más conocida por pilotos empresariales y de tokenización que por liquidez DeFi, lo que agrava el coste para un mercado de préstamos ya limitado.
Impacto en el mercado
El agujero de $9,05M es el tipo de pérdida que un libro de préstamos de una cadena más pequeña puede tener dificultades para absorber sin capital externo o un plan de socialización por el lado del token. Habrá que seguir las propuestas de gobernanza, el despliegue de tesorería y cualquier declaración de Supra sobre si otros protocolos que usan el mismo oráculo están expuestos al mismo fallo de verificación de firmas.
Fuente: Bonzo Lend Incident Report: Oracle Provider Exploit, Bonzo Finance
Preguntas frecuentes
-
¿Qué se explotó en el hackeo de Bonzo Lend?
Un fallo de verificación de firmas en el oráculo de Supra permitió al atacante falsear los feeds de precio de SAUCE, lo que le dejó tomar prestados activos contra una garantía que el control de precios del protocolo aceptó como mucho más valiosa de lo que realmente era.
-
¿Cuánto se perdió en el exploit de Bonzo Lend?
Bonzo reveló que aproximadamente $9,05 millones fueron drenados del protocolo antes de que fuera pausado.
-
¿Está Bonzo Lend pausado ahora?
Sí. Bonzo pausó el protocolo tras el exploit mientras Bonzo Labs y la Bonzo Finance Foundation coordinan la recuperación y las medidas de corrección.
-
¿Están otros protocolos de Hedera o Supra en riesgo por el mismo fallo?
Bonzo no ha confirmado exposición en otros protocolos. El riesgo depende de si otros mercados que usan el oráculo de Supra comparten la misma debilidad de verificación de firmas, que ahora es la gran pregunta abierta para el stack DeFi de Hedera.
-
¿Qué ocurre ahora con los usuarios de Bonzo Lend?
Los usuarios deben esperar que el protocolo siga pausado mientras el equipo trabaja en un plan de recuperación. Habrá que seguir las propuestas de gobernanza, cualquier despliegue de tesorería y un informe completo de Bonzo y Supra que detalle la corrección y cualquier vía de reembolso.