A carregar preços…
🩸BEARISH

Bonzo Lend perde 9 milhões em ataque a oráculo na Hedera

O atacante fez passar um preço falso pela verificação do oráculo Supra, contraindo 10 M$ de empréstimos com 250 tokens SAUCE sem valor. Quase todo o valor DeFi da Hedera saiu pela porta em 24 horas.

Bonzo Lend perde 9 milhões em ataque a oráculo na Hedera
Bonzo Lend perde 9 milhões em ataque a oráculo na Hedera
Bonzo Lend perde 9 milhões em ataque a oráculo na Hedera
Bonzo Lend perde 9 milhões em ataque a oráculo na Hedera

A Bonzo Lend, um protocolo descentralizado de crédito na rede Hedera, perdeu cerca de 9,05 milhões de dólares depois de um atacante explorar uma falha de verificação num contrato de oráculo Supra de terceiros, contraindo empréstimos de ativos muito acima do valor da garantia depositada. O atacante depositou 250 tokens SAUCE de valor negligenciável e submeteu uma atualização de preço manipulada que inflacionou o seu valor denominado em HBAR, segundo um relatório preliminar de incidente da Bonzo.

O protocolo disse que a conta contraiu depois empréstimos de 6,63 milhões de USDC e 34,52 milhões de HBAR encapsulado. Ao preço de referência do HBAR no relatório, de 0,06998 dólares, os dois levantamentos valiam cerca de 9,05 milhões de dólares. Uma segunda carteira contraiu mais 1 milhão de dólares em ativos enquanto o preço anómalo se mantinha ativo e contactou depois a Bonzo através do Discord, identificando-se como interveniente white-hat e dizendo que pretendia devolver os fundos. A Bonzo excluiu esses ativos da sua estimativa principal de perdas, colocando o capital total contraído durante o incidente em cerca de 10,06 milhões de dólares antes de qualquer recuperação.

Porque é importante

A violação situa-se numa camada de verificação de preços de oráculo, não na própria lógica de crédito. Um feed manipulado foi aceite como autoritário, a mesma classe de falha que eliminou cerca de 400 milhões de dólares da Mango Markets em 2022 e desencadeou os post-mortems de novembro de 2023 em vários mercados de crédito. O caso da Bonzo é pequeno em termos de dólares, mas o padrão importa: os oráculos continuam a ser a dependência mais concentrada no crédito DeFi, e uma única falha de verificação pode converter uma garantia trivial em empréstimos de oito dígitos numa só transação.

O incidente também concentra o risco dentro do ecossistema Hedera. A DeFiLlama mostra que o valor total bloqueado da Hedera caiu quase 40% em 24 horas para 25,7 milhões de dólares, com o TVL da própria Bonzo a recuar 77%. Numa rede desta dimensão, um único exploit chega para redefinir o setor.

Impacto no mercado

A referência de preço do HBAR no relatório da Bonzo, 0,06998 dólares, é até agora a única âncora estável. A composição dos ativos drenados, USDC mais HBAR encapsulado, sugere que o atacante visou tanto liquidez estável como nativa.

Tokens relacionados
$HBAR $SAUCE

Perguntas frequentes

  1. Como funcionou o exploit da Bonzo Lend?

    O atacante depositou 250 tokens SAUCE de baixo valor e submeteu uma atualização de preço manipulada que passou por uma falha de verificação num contrato de oráculo Supra de terceiros, permitindo-lhe contrair empréstimos de ativos muito acima da garantia depositada.

  2. Quanto perdeu a Bonzo Lend no exploit de oráculo?

    O relatório preliminar da Bonzo coloca a perda principal em cerca de 9,05 milhões de dólares, em 6,63 M USDC e 34,52 M de HBAR encapsulado. Uma segunda carteira contraiu mais 1 M$ enquanto o preço errado continuava ativo, elevando o capital total contraído para cerca de 10,06 M$ antes da recuperação.

  3. O que aconteceu ao valor total bloqueado da Hedera após o exploit?

    Dados da DeFiLlama mostram que o TVL da Hedera caiu quase 40% em 24 horas para 25,7 milhões de dólares. O TVL da própria Bonzo recuou 77%, refletindo a concentração da liquidez DeFi da rede num único protocolo.

  4. O exploit da Bonzo Lend foi um problema do oráculo Supra ou um bug da Bonzo?

    O relatório preliminar de incidente da Bonzo aponta para uma falha de verificação no contrato de oráculo Supra de terceiros, não na lógica de crédito da Bonzo. O feed aceitou como autoritária uma atualização de preço manipulada, a mesma classe de falha que já atingiu outros mercados de crédito.

  5. Os fundos do exploit da Bonzo foram recuperados?

    Uma segunda carteira que contraiu cerca de 1 M$ durante o incidente contactou a Bonzo via Discord, alegando ser um interveniente white-hat, e disse que pretendia devolver os fundos. A Bonzo excluiu esses ativos da sua estimativa principal de perdas enquanto aguarda a recuperação efetiva.

Atribuição da fonte
Agregado de CoinDesk · Verificado · Última atualização há 1h
Abrir original →