Bonzo Lend, le plus grand protocole de prêt sur Hedera, a annoncé qu’environ 9,05 millions de dollars avaient été drainés du protocole lors d’un exploit d’oracle. L’équipe a attribué la cause première à une faille dans la vérification des signatures de Supra, qui a permis à un attaquant de falsifier les flux de prix de SAUCE et d’emprunter des actifs très au-delà de la valeur du collatéral déposé. Le protocole a été suspendu pendant que Bonzo Labs et la Bonzo Finance Foundation coordonnent les efforts de récupération et de remédiation.
Pourquoi c’est important
Cette faille montre que le risque de prêt ne s’arrête pas aux propres contrats du protocole. Un carnet de prêts n’est aussi sûr que le flux de prix qui déclenche ses contrôles de collatéral, et lorsque la couche de signature de ce flux est compromise, l’attaquant emprunte contre une valorisation que le système n’a aucune raison de contester. L’exploit touche aussi Hedera, un réseau davantage connu pour ses pilotes d’entreprise et de tokenisation que pour sa liquidité DeFi, ce qui alourdit le coût pour un marché du prêt déjà peu profond.
Impact sur le marché
Le trou de 9,05 M$ correspond au type de perte qu’un carnet de prêts sur une chaîne plus petite peut avoir du mal à absorber sans capital externe ou plan de mutualisation côté token. Surveillez les propositions de gouvernance, le déploiement éventuel de trésorerie et toute déclaration de Supra indiquant si d’autres protocoles utilisant le même oracle sont exposés à la même faille de vérification des signatures.
Source : Bonzo Lend Incident Report: Oracle Provider Exploit, Bonzo Finance
Questions fréquemment posées
-
Qu’est-ce qui a été exploité dans le hack de Bonzo Lend ?
Une faille de vérification des signatures dans l’oracle de Supra a permis à l’attaquant de falsifier les flux de prix de SAUCE. Il a ainsi pu emprunter des actifs contre un collatéral que le contrôle de prix du protocole acceptait comme bien plus précieux qu’il ne l’était réellement.
-
Combien a été perdu dans l’exploit de Bonzo Lend ?
Bonzo a indiqué qu’environ 9,05 millions de dollars avaient été drainés du protocole avant sa suspension.
-
Bonzo Lend est-il suspendu actuellement ?
Oui. Bonzo a suspendu le protocole après l’exploit pendant que Bonzo Labs et la Bonzo Finance Foundation coordonnent la récupération et la remédiation.
-
D’autres protocoles Hedera ou Supra sont-ils exposés au même bug ?
Bonzo n’a pas confirmé d’exposition pour d’autres protocoles. Le risque dépend de la présence de la même faiblesse de vérification des signatures sur d’autres plateformes utilisant l’oracle de Supra, ce qui reste la grande question ouverte pour la DeFi sur Hedera.
-
Que se passe-t-il maintenant pour les utilisateurs de Bonzo Lend ?
Les utilisateurs doivent s’attendre à ce que le protocole reste suspendu pendant que l’équipe travaille à un plan de récupération. Surveillez les propositions de gouvernance, tout déploiement de trésorerie et un rapport d’incident complet de Bonzo et Supra détaillant la remédiation et toute voie de remboursement.