Une signature d’oracle mise à zéro a permis à un attaquant de siphonner environ $9M de Bonzo Lend, un marché de prêt DeFi sur le réseau Hedera, en poussant le protocole à accepter un collatéral mal valorisé.
Pourquoi c’est important
La faille se trouvait dans le chemin de signature de l’oracle, pas dans le prix lui-même. En mettant à zéro une partie de la signature qu’il a produite, l’attaquant a apparemment amené le contrat à accepter les données comme valides et a pu emprunter des actifs contre un collatéral que le système ne pouvait pas évaluer honnêtement. C’est la même famille de bugs qui frappe les marchés de prêt EVM depuis des années, avec désormais un équivalent documenté sur Hedera.
Impact sur le marché
Les actions tokenisées et les autres collatéraux non natifs sont la prochaine frontière des marchés de crédit DeFi, et Bonzo Lend travaillait dans cette direction. L’exploit souligne qu’un adossement 1:1 ne suffit pas lorsque le wrapper, le coffre et le chemin d’oracle peuvent être manipulés. Pour la DeFi sur Hedera, qui développe une petite pile de prêt mais active, l’incident est un revers de crédibilité au moment même où l’intérêt institutionnel pour le réseau commençait à s’accélérer.
Questions fréquemment posées
-
Qu’est-ce que Bonzo Lend ?
Bonzo Lend est un protocole DeFi de prêt et d’emprunt sur le réseau Hedera. Il permet aux utilisateurs de déposer des cryptoactifs pour générer du rendement et d’emprunter contre un collatéral, comme Aave ou Compound sur d’autres chaînes.
-
Comment l’attaquant a-t-il siphonné $9M de Bonzo Lend ?
L’attaquant a soumis une charge utile de données d’oracle avec un champ de signature mis à zéro. Le smart contract a apparemment traité cette signature mal formée mais acceptée comme valide, puis a permis à l’emprunteur de contracter des prêts contre un collatéral que le protocole ne pouvait pas évaluer honnêtement.
-
L’exploit de Bonzo Lend était-il une manipulation d’oracle de prix ?
Partiellement. Le flux de prix lui-même n’a pas été directement manipulé ; l’attaquant a plutôt contourné l’étape d’authentification qui prouve que les données d’oracle proviennent d’une source fiable. Le résultat pour le protocole est similaire, mais le vecteur d’attaque est la vérification de signature, pas le prix…
-
L’exploit de Bonzo Lend a-t-il affecté le réseau Hedera lui-même ?
Non. La couche de consensus de Hedera et le token HBAR ont continué de fonctionner normalement. Les dommages sont restés limités aux smart contracts de Bonzo Lend et à ses déposants, exposés à une dette toxique issue de prêts sous-collatéralisés.
-
Que se passe-t-il pour les utilisateurs de Bonzo Lend après l’exploit ?
Les utilisateurs qui ont fourni de la liquidité à Bonzo Lend risquent de subir des pertes pendant que le protocole traite la dette toxique, via un vote de gouvernance, une émission de tokens pour combler le déficit ou des pertes mutualisées entre déposants. Les plans de récupération dépendront des prochaines annonces…