Um protocolo de lending na Hedera perdeu cerca de $9,05 milhões na terça-feira, depois de um atacante explorar uma falha num verificador de oráculo da Supra para submeter um preço extremamente inflacionado para o token SAUCE e depois contrair empréstimos contra esse colateral fantasma.
A Bonzo Lend, o maior mercado de lending da Hedera, suspendeu os seus contratos e o seu programa de pontos após o incidente. A Supra confirmou que o bug estava no verificador SAUCE/USD e disse que já foi corrigido. Uma segunda wallet contraiu mais cerca de $1 milhão em empréstimos na mesma janela, mas identificou-se como hacker ético e disse que pretende devolver os fundos.
Porque é importante
Os exploits de oráculos continuam a ser a superfície de ataque mais fiável no lending DeFi, e o padrão aqui é a versão clássica: manipular o feed de preços, pedir emprestado contra colateral inflacionado e sair com a liquidez. A diferença é que o bug estava do lado do verificador, não do lado do protocolo, o que significa que todos os venues que liam esse stream de preços específico da Supra ficaram expostos na mesma janela.
A Bonzo Lend ainda não publicou um post-mortem nem indicou se fundos de tesouraria serão usados para compensar integralmente os depositantes. SAUCE, o token nativo da DEX da Hedera SaucerSwap, foi o único ativo manipulado.
Impacto no mercado
O token HBAR da Hedera e SAUCE recuaram após a divulgação, embora a reação do mercado mais amplo tenha sido contida. A devolução de $1 milhão pelo hacker ético, se se concretizar, reduziria a perda líquida para cerca de $8 milhões. A questão maior é a confiança: Bonzo e Supra são a stack central de lending e oráculos na Hedera, e ambas ficam agora associadas a um incidente na mesma semana.
Perguntas frequentes
-
Como é que o atacante drenou a Bonzo Lend?
O atacante explorou uma falha num verificador de oráculo da Supra para submeter um preço extremamente inflacionado para o token SAUCE e depois contraiu cerca de $9,05 milhões em empréstimos contra o colateral fantasma.
-
Qual foi o papel do oráculo da Supra no exploit?
O bug estava no verificador SAUCE/USD, não na própria Bonzo Lend. A Supra confirmou a vulnerabilidade e disse que já foi corrigida.
-
Um hacker ético recuperou parte dos fundos roubados?
Uma segunda wallet contraiu mais cerca de $1 milhão em empréstimos na mesma janela, identificou-se como hacker ético e disse que pretende devolver os fundos.
-
A Bonzo Lend já retomou operações?
Não. A Bonzo Lend suspendeu os seus contratos e o seu programa de pontos após o incidente e ainda não anunciou um calendário para retomar operações.
-
Os depositantes da Bonzo Lend serão compensados integralmente?
A Bonzo ainda não publicou um post-mortem nem indicou se fundos de tesouraria serão usados para compensar os depositantes pela perda de cerca de $9,05 milhões.
TheBlock