Uma assinatura de oráculo a zeros permitiu a um atacante drenar cerca de 9 milhões de dólares da Bonzo Lend, um mercado de crédito DeFi na rede Hedera, ao levar o protocolo a aceitar garantias com preço incorreto.
Porque é importante
A falha estava no percurso da assinatura do oráculo, não no preço em si. Ao colocar a zeros parte da assinatura que produziu, o atacante fez com que o contrato aparentemente aceitasse os dados como válidos e permitisse ao mutuário retirar ativos contra garantias que o sistema não conseguia avaliar de forma honesta. É a mesma família de bugs que tem afetado mercados de crédito EVM há anos, e agora há um análogo documentado na Hedera.
Impacto no mercado
Ações tokenizadas e outras garantias não nativas são a próxima fronteira dos mercados de crédito DeFi, e a Bonzo Lend estava a trabalhar nessa direção. O exploit sublinha que a cobertura 1:1 não é suficiente quando o wrapper, o cofre e o percurso do oráculo podem ser manipulados. Para a DeFi na Hedera, que tem vindo a construir uma pilha de crédito pequena mas ativa, o incidente é um revés de credibilidade precisamente quando o interesse institucional na rede tem vindo a crescer.
Perguntas frequentes
-
O que é a Bonzo Lend?
A Bonzo Lend é um protocolo DeFi de concessão e contração de empréstimos na rede Hedera. Permite aos utilizadores fornecer criptoativos para obter rendimento e contrair empréstimos contra garantias depositadas, de forma semelhante à Aave ou à Compound noutras chains.
-
Como é que o atacante drenou 9 milhões de dólares da Bonzo Lend?
O atacante submeteu um payload de dados de oráculo com um campo de assinatura a zeros. O smart contract aparentemente tratou a assinatura malformada mas aceite como válida e permitiu ao mutuário contrair empréstimos contra garantias que o protocolo não conseguia avaliar de forma honesta.
-
O exploit da Bonzo Lend foi uma manipulação de oráculo de preços?
Parcialmente. O feed de preços em si não foi manipulado diretamente; em vez disso, o atacante contornou a etapa de autenticação que prova que os dados do oráculo vieram de uma fonte de confiança. O resultado para o protocolo é semelhante, mas o vetor de ataque é a verificação da assinatura, não o preço subjacente.
-
O exploit da Bonzo Lend afetou a própria rede Hedera?
Não. A camada de consenso da Hedera e o token HBAR continuaram a operar normalmente. Os danos ficaram limitados aos smart contracts da Bonzo Lend e aos seus depositantes, expostos a dívida incobrável dos empréstimos subcolateralizados.
-
O que acontece aos utilizadores da Bonzo Lend após o exploit?
Os utilizadores que forneceram liquidez à Bonzo Lend deverão enfrentar perdas enquanto o protocolo resolve a dívida incobrável, seja através de uma votação de governação, de uma emissão de tokens para cobrir o défice ou de perdas socializadas entre depositantes. Os planos de recuperação dependem do que a equipa da…