Chargement des prix…
🩸BEARISH

Bonzo Lend perd 9 M$ dans un exploit d’oracle Hedera

Un simple bug de prix côté vérificateur a permis à un attaquant de créer 9 M$ de pouvoir d’emprunt non couvert sur le plus grand marché de prêt de Hedera.

Un protocole de prêt sur Hedera a perdu environ 9,05 millions de dollars mardi, après qu’un attaquant a exploité une faille dans un vérificateur d’oracle Supra pour soumettre un prix fortement gonflé du token SAUCE, puis emprunter contre ce collatéral fantôme.

Bonzo Lend, le plus grand marché de prêt de Hedera, a suspendu ses contrats et son programme de points après l’incident. Supra a confirmé que le bug se trouvait dans le vérificateur SAUCE/USD et a indiqué qu’il avait depuis été corrigé. Un deuxième wallet a emprunté environ 1 million de dollars supplémentaire dans la même fenêtre, mais s’est présenté comme un white hat et a dit avoir l’intention de restituer les fonds.

Pourquoi c’est important

Les exploits d’oracles restent la surface d’attaque la plus fiable dans le prêt DeFi, et le schéma observé ici est la version classique : manipuler le flux de prix, emprunter contre un collatéral gonflé, repartir avec la liquidité. La particularité tient au fait que le bug se trouvait côté vérificateur, et non côté protocole, ce qui signifie que chaque plateforme lisant ce flux de prix Supra précis était exposée dans la même fenêtre.

Bonzo Lend n’a pas encore publié de post-mortem ni indiqué si des fonds de trésorerie seront utilisés pour indemniser les déposants. SAUCE, le token natif du DEX Hedera SaucerSwap, a été le seul actif manipulé.

Impact sur le marché

Le token HBAR de Hedera et SAUCE ont tous deux reculé après la divulgation, même si la réaction du marché au sens large est restée contenue. Le retour du million de dollars par le white hat, s’il se concrétise, ramènerait la perte nette à environ 8 millions de dollars. Le risque le plus lourd concerne la confiance : Bonzo et Supra constituent les briques centrales du prêt et des oracles sur Hedera, et tous deux portent désormais un incident sur la même semaine.

Tokens associés
$HBAR $SAUCE

Questions fréquemment posées

  1. Comment l’attaquant a-t-il vidé Bonzo Lend ?

    L’attaquant a exploité une faille dans un vérificateur d’oracle Supra pour soumettre un prix fortement gonflé du token SAUCE, puis emprunter environ 9,05 millions de dollars contre ce collatéral fantôme.

  2. Quel a été le rôle de l’oracle Supra dans l’exploit ?

    Le bug se trouvait dans le vérificateur SAUCE/USD, pas dans Bonzo Lend lui-même. Supra a confirmé la vulnérabilité et a indiqué qu’elle avait depuis été corrigée.

  3. Un white hat a-t-il récupéré une partie des fonds volés ?

    Un deuxième wallet a emprunté environ 1 million de dollars supplémentaire dans la même fenêtre, s’est présenté comme un white hat et a dit avoir l’intention de restituer les fonds.

  4. Bonzo Lend a-t-il repris ses opérations ?

    Non. Bonzo Lend a suspendu ses contrats et son programme de points après l’incident, et n’a pas annoncé de calendrier de reprise.

  5. Les déposants de Bonzo Lend seront-ils indemnisés ?

    Bonzo n’a pas encore publié de post-mortem ni indiqué si des fonds de trésorerie seront utilisés pour compenser les déposants après la perte d’environ 9,05 millions de dollars.

Attribution de la source
Agrégé de TheBlock · Vérifié · Dernière mise à jour il y a 56m
Ouvrir l'original →