Bonzo Lend perde $9M em um exploit no Oracle após o preço falso da SAUCE drenar o protocolo

SAUCE-2,44%
HBAR-0,48%
SUPRA-1,40%

Bonzo Lend, um protocolo de empréstimos na rede Hedera, perdeu aproximadamente US$ 9,05 milhões em 11 de julho, após um atacante explorar uma falha no verificador de oráculo de terceiros da Supra. O atacante enviou uma atualização de preço falsa do token SAUCE pelo verificador, usando uma assinatura zerada que foi validada de forma incorreta, inflando o preço do SAUCE em cerca de doze ordens de magnitude. O exploit permitiu ao atacante contrair empréstimos com base em colateral que valia uma fração dos empréstimos tomados, drenando as reservas de empréstimos do protocolo. A Hedera confirmou que o incidente foi isolado ao verificador externo de oráculo e não comprometeu o consenso nem os serviços centrais da rede. A Supra reconheceu a falha de verificação e implementou uma correção para o contrato afetado no mainnet da Hedera.

Atacante explora verificador de oráculo da Supra em 11 de julho

O ataque começou por volta de 00h51 UTC em 11 de julho, de acordo com o relatório de incidente da Bonzo. Uma carteira rotulada como Wallet A pela equipe enviou uma atualização de preço assinada com uma assinatura zerada, que o verificador da Supra aceitou como válida. A atualização definiu o preço do SAUCE em um seguido por trinta zeros, contra um preço real de mercado de cerca de 0,2 HBAR, inflando o valor do token em cerca de doze ordens de magnitude. Com o colateral do SAUCE precificado nesse nível, a carteira drenou as reservas de empréstimos do protocolo.

Assinatura zerada ignorou o processo de verificação

O relatório da Bonzo rastreia a falha até como o verificador da Supra checou as assinaturas. “O precompile de pairing foi perguntado se uma equação específica era verdadeira, e ele respondeu corretamente que sim. Então, o verificador da Supra tratou esse 'sim' como prova de uma assinatura válida do comitê, o que nunca foi”, afirma o relatório. A equipe destacou que seus próprios contratos precificam o colateral e calculam a capacidade de empréstimo exatamente como foram codificados: “Em nenhum momento os contratos do Bonzo Lend apresentaram mau funcionamento”. A Hedera endossou essa versão, afirmando que a falha ocorreu a montante, na camada de oráculo, e que o consenso da rede e os serviços centrais não foram comprometidos.

Carteira de “white hat” se compromete a devolver US$ 1 milhão

Uma segunda carteira obteve cerca de US$ 1 milhão usando a mesma falha. Desde então, essa carteira entrou em contato com a equipe, se identificou como respondente de white hat e se comprometeu a devolver os valores, disse a Bonzo. A equipe exclui esse montante do número divulgado como perda principal.

Bonzo pausa produtos após queda de 78% no TVL

A Bonzo pausou seus produtos Lend e Points após o exploit, enquanto suas soluções Vaults, Bridge e de staking continuam operando. O valor total bloqueado no protocolo caiu de cerca de US$ 14,3 milhões em 10 de julho para cerca de US$ 3,2 milhões até 12 de julho, uma queda de aproximadamente 78%, segundo dados da DefiLlama. A equipe disse que está coordenando com o respondente de white hat para o retorno dos fundos e trabalhando nas condições para levantar a pausa e reabrir saques para provedores de liquidez. A Supra implementou uma correção para o contrato afetado no mainnet da Hedera e está trabalhando com pesquisadores de segurança para analisar o ataque.

FAQ

O que causou o exploit do Bonzo Lend em 11 de julho?
O exploit ocorreu quando um atacante enviou uma atualização de preço para o token SAUCE com uma assinatura zerada que o verificador de oráculo de terceiros da Supra aceitou incorretamente como válida. Isso permitiu ao atacante inflar o preço do SAUCE em cerca de doze ordens de magnitude e tomar aproximadamente US$ 9,05 milhões emprestados com base em um colateral que valia uma fração dos empréstimos realizados.

Como a Hedera e a Supra responderam ao exploit de oráculo?
A Hedera confirmou que o incidente foi isolado ao verificador externo de oráculo e afirmou que o consenso da rede e os serviços centrais não foram comprometidos. A Supra reconheceu a falha de verificação e implementou uma correção para o contrato afetado no mainnet da Hedera, além de estar trabalhando com pesquisadores de segurança para analisar o ataque.

O que aconteceu com o valor total bloqueado do Bonzo Lend após o exploit?
O valor total bloqueado no Bonzo Lend caiu de aproximadamente US$ 14,3 milhões em 10 de julho para cerca de US$ 3,2 milhões em 12 de julho, uma queda de aproximadamente 78%, segundo dados da DefiLlama. O protocolo pausou os produtos Lend e Points, enquanto Vaults, Bridge e produtos de staking continuam operando.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários