Bonzo Lend perde $9M num exploit na Oracle, enquanto o preço da falsa SAUCE esvazia o protocolo

SAUCE-3,01%
HBAR-0,26%
SUPRA-0,65%

Bonzo Lend, um protocolo de empréstimos na rede Hedera, perdeu aproximadamente 9,05 milhões de dólares a 11 de julho, depois de um atacante explorar uma falha no verificador de oráculos de terceiros da Supra. O atacante enviou uma atualização falsa de preço do token SAUCE através do verificador, ao submeter uma assinatura anulada (zeroed) que foi validada incorretamente, inflacionando o preço da SAUCE em cerca de doze ordens de magnitude. O exploit permitiu ao atacante contrair empréstimos com garantias no valor de uma fração dos empréstimos obtidos, esvaziando as pools de empréstimos do protocolo. A Hedera confirmou que o incidente foi isolado ao verificador externo de oráculo e que não comprometeu o consenso da rede nem os serviços centrais. A Supra reconheceu a falha de verificação e implementou uma correção no contrato afetado na rede principal (mainnet) da Hedera.

Attacker Exploits Supra Oracle Verifier on July 11

O ataque começou por volta das 00h51 UTC de 11 de julho, de acordo com o relatório de incidentes da Bonzo. Uma carteira identificada pela equipa como Wallet A submeteu uma atualização de preço assinada com uma assinatura anulada, que o verificador da Supra aceitou como válida. A atualização definiu o preço da SAUCE em “1” seguido de trinta zeros, contra um preço de mercado real de cerca de 0,2 HBAR, inflacionando o valor do token em cerca de doze ordens de magnitude. Com a garantia da SAUCE valorizada nesse nível, a carteira esvaziou as pools de empréstimos do protocolo.

Zeroed Signature Bypassed Verification Process

O relatório da Bonzo reconstrói a falha até ao modo como o verificador da Supra verificou as assinaturas. “O precompile de pairing foi questionado se uma equação específica se mantinha, e respondeu corretamente que sim. O verificador da Supra tratou então esse ‘sim’ como prova de uma assinatura válida do comité, o que nunca foi”, refere o relatório. A equipa salientou que os seus próprios contratos avaliaram a garantia e calcularam a capacidade de empréstimo exatamente como estava codificado: “Em nenhum momento os contratos da Bonzo Lend falharam.” A Hedera apoiou essa versão, afirmando que a falha ocorreu a montante, na camada de oráculos, e que o consenso da rede e os serviços centrais não foram comprometidos.

White-Hat Wallet Commits to Return $1 Million

Uma segunda carteira levantou cerca de 1 milhão de dólares explorando a mesma falha. Essa carteira contactou entretanto a equipa, identificou-se como uma resposta white-hat (defensiva) e comprometeu-se a devolver os fundos, disse a Bonzo. A equipa exclui este valor do total indicado na perda em destaque.

Bonzo Pauses Products as TVL Drops 78 Percent

A Bonzo suspendeu os seus produtos Lend e Points após o exploit, enquanto os seus produtos Vaults, Bridge e de staking continuam a operar. O valor total bloqueado (TVL) no protocolo caiu de cerca de 14,3 milhões de dólares em 10 de julho para cerca de 3,2 milhões de dólares a 12 de julho, uma queda de aproximadamente 78%, segundo dados da DefiLlama. A equipa disse que está a coordenar com o respondente white-hat o retorno dos fundos e a trabalhar nas condições para levantar a pausa e reabrir os levantamentos para os fornecedores de liquidez. A Supra implementou uma correção no contrato afetado na rede principal da Hedera e está a trabalhar com investigadores de segurança para analisar o ataque.

FAQ

What caused the Bonzo Lend exploit on July 11?
O exploit ocorreu quando um atacante submeteu uma atualização de preço para o token SAUCE com uma assinatura anulada que o verificador de oráculos de terceiros da Supra aceitou incorretamente como válida. Isso permitiu ao atacante inflacionar o preço da SAUCE em cerca de doze ordens de magnitude e contrair aproximadamente 9,05 milhões de dólares em empréstimos com garantias que valiam uma fração dos empréstimos obtidos.

How did Hedera and Supra respond to the oracle exploit?
A Hedera confirmou que o incidente foi isolado ao verificador externo de oráculo e afirmou que o consenso da rede e os serviços centrais não foram comprometidos. A Supra reconheceu a falha de verificação e implementou uma correção no contrato afetado na rede principal da Hedera, estando a trabalhar com investigadores de segurança para analisar o ataque.

What happened to Bonzo Lend's total value locked after the exploit?
O valor total bloqueado (TVL) da Bonzo Lend caiu de aproximadamente 14,3 milhões de dólares a 10 de julho para cerca de 3,2 milhões de dólares a 12 de julho, uma queda de cerca de 78%, segundo dados da DefiLlama. O protocolo suspendeu os produtos Lend e Points, enquanto os produtos Vaults, Bridge e de staking continuam a operar.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário