Bonzo Lend perd 9 M$ dans un exploit d’oracle Hedera
Un simple bug de prix côté vérificateur a permis à un attaquant de créer 9 M$ de pouvoir d’emprunt non couvert sur le plus grand marché de prêt de Hedera.
Chaque histoire Zipp taguée #OracleManipulation, les plus récentes en premier.
Un simple bug de prix côté vérificateur a permis à un attaquant de créer 9 M$ de pouvoir d’emprunt non couvert sur le plus grand marché de prêt de Hedera.
L’attaquant a fait passer un faux prix malgré la vérification de l’oracle Supra, empruntant 10 M$ contre 250 tokens SAUCE sans valeur. Presque toute la valeur DeFi de Hedera est sortie en 24 heures.
L’attaquant a exploité une faille de vérification des signatures dans l’oracle de Supra pour falsifier les prix de SAUCE, emprunter contre un collatéral fantôme et drainer environ 9,05 M$ avant la suspension du protocole.
La faille se trouvait dans le wrapper et l'oracle, pas dans l'action elle-même. L'exploit d'Edel est le premier signal visible que les actions tokenisées emballées ajoutent un deuxième problème de prix par-dessus le sous-jacent.