Bonzo Lend szacuje stratę na 9 mln USD po ataku na wycenę w oraklu na Hedera

Podsumowanie rynku AI
Strata Bonzo Lend w wysokości ~9 mln USD na Hedera podkreśla utrzymujące się ryzyko w DeFi związane z wyroczniami oraz weryfikacją cen po tym, jak zmanipulowana aktualizacja SAUCE umożliwiła nadmierne pożyczanie USDC i wrapped HBAR. Chociaż Bonzo twierdzi, że jego kontrakty i rdzeń Hedera nie były winne, incydent wzmacnia tezę, że awarie zewnętrznych weryfikatorów wyroczni mogą szybko podważyć wypłacalność i zaufanie do puli pożyczkowej. Szersze tło podwyższonej częstotliwości exploitów może nasilić krótkoterminową awersję do ryzyka w całym DeFi.
Wpływ
● Średni
Aktywa, których dotyczy
BTC/USDT+0.63%
Analiza AI · BTC/USDTAnaliza AI
▼ Spadkowy
Handluj teraz
⚠️ Analizy generowane przez AI opierają się na treściach z wiadomości i mają charakter informacyjny. Nie stanowią porady inwestycyjnej ani nie odzwierciedlają poglądów BingX. Inwestowanie wiąże się z ryzykiem. Handluj odpowiedzialnie.
Protokół pożyczkowy Bonzo Lend działający w ekosystemie Hedera odnotował szacunkową stratę około 9 mln USD po tym, jak napastnik wykorzystał mechanizm wyceny tokena służący do kalkulacji wartości zabezpieczenia. Kluczowym elementem było zmanipulowanie ceny SAUCE przekazywanej przez kanał orakla, co pozwoliło zaciągnąć pożyczkę z puli płynności w skali nieadekwatnej do realnej wartości zdeponowanego zabezpieczenia. Wstępny raport z incydentu, opublikowany w sobotę, wskazuje, że atak rozpoczął się od zdeponowania 250 SAUCE. W normalnych warunkach protokół wyceniał tę kwotę na kilka dolarów. Następnie do systemu wprowadzono aktualizację cenową, która zawyżyła raportowaną wartość SAUCE o około 12 rzędów wielkości. Przy takiej, sztucznie podbitej wycenie napastnik pożyczył łącznie 6,63 mln USDC oraz 34,5 mln wrapped HBAR. Najważniejsze ustalenia - Bonzo Lend ocenia ekonomiczny wpływ zdarzenia na ok. 9 mln USD. Zawyżona cena SAUCE umożliwiła pożyczenie środków ponad faktyczną wartość zabezpieczenia. - Źródłem problemu miał być weryfikator orakla on-chain dostawcy Supra, który zaakceptował zmanipulowaną aktualizację ceny z wyzerowanym podpisem. - Bonzo podkreśla, że przyczyną nie były wady w kontraktach Bonzo Lend ani problemy w bazowej sieci Hedera. - Incydent wpisuje się w powtarzalny schemat ryzyka w DeFi: słabości orakli potrafią zamienić niskowartościowe zabezpieczenie w narzędzie do drenowania płynności. - To kolejny przykład ataku na wycenę zabezpieczenia po podobnym zdarzeniu w puli pożyczkowej Stellar na początku 2026 r. Jak niewielki depozyt doprowadził do dużego odpływu Według opisu Bonzo sednem ataku była wycena zabezpieczenia. Protokoły pożyczkowe opierają limity zadłużenia o dane cenowe, aby ustalić, jaką kwotę można pożyczyć pod zastaw zdeponowanych aktywów. Jeśli orakl da się zmanipulować albo logika weryfikacji jest niewystarczająca, mechanizmy kontroli zabezpieczenia w praktyce przestają działać. Bonzo wskazuje na dwustopniowy schemat. Najpierw w portfelu napastnika zdeponowano 250 SAUCE jako zabezpieczenie. Następnie przesłano aktualizację do orakla, deklarując skrajnie wyższą wycenę SAUCE, zawyżoną o ok. 12 rzędów wielkości. Gdy system "uwierzył" w zawyżoną cenę, umożliwił pobranie płynności dalece przekraczającej to, co uzasadniałby pierwotny depozyt. Efektem było zadłużenie na 6,63 mln USDC i 34,5 mln wrapped HBAR. Awaria weryfikacji orakla według Bonzo Bonzo przypisało incydent usterce w weryfikatorze orakla on-chain dostawcy Supra. Jak podano, komponent weryfikacyjny zaakceptował zmanipulowaną aktualizację ceny SAUCE z wyzerowanym podpisem, co umożliwiło zmianę danych cenowych bez właściwej walidacji kryptograficznej. Bonzo dodało, że Supra potwierdziła problem i wdrożyła poprawkę. Jednocześnie zespół Bonzo zaznaczył, że nie była to luka w smart kontraktach Bonzo Lend i nie wynikała z działania podstawowej warstwy sieci Hedera. Dla użytkowników i integratorów ma to znaczenie: nawet przy stabilnej logice pożyczkowej i konsensusie sieci, komponenty zewnętrzne, takie jak orakle lub warstwy ich weryfikacji, mogą tworzyć krytyczne luki. Wnioski z raportu akcentują też, że bezpieczeństwo orakli nie sprowadza się do "podawania właściwej ceny", ale do zapewnienia autentyczności i odporności na manipulacje. Dlaczego DeFi coraz mocniej odczuwa presję związaną z bezpieczeństwem Atak na Bonzo wpisuje się w okres wzmożonej uwagi wokół bezpieczeństwa DeFi. Cointelegraph informował wcześniej, że drugi kwartał był najbardziej "zhakowanym" kwartałem w historii pod względem liczby incydentów: 83 ataki i ok. 755 mln USD skradzionych środków. W tej strukturze exploity mostów cross-chain odpowiadały za 351 mln USD, a przejęcia uprawnień administracyjnych oraz manipulacje ceną fałszywych tokenów stanowiły łącznie 37% kwartalnych strat. Dane rynkowe pokazują dodatkową presję. Cointelegraph wskazywał, że całkowita wartość zablokowana w DeFi (TVL) spadła w czerwcu o 39% do poziomu powyżej 70 mld USD z ok. 115 mld USD w styczniu. CryptoRank odnotował 121 ataków i ok. 942 mln USD strat w tym okresie, co sugeruje, że seria incydentów mogła osłabiać zaufanie i sprzyjać odpływowi kapitału z części sektora. Na tym tle manipulacja zabezpieczeniem poprzez orakl to znany wzorzec: atakujący uderzają w mechanizm, na którym opiera się model ryzyka protokołu. Gdy założenia cenowe przestają obowiązywać, zabezpieczenia, parametry collateral factor i procedury likwidacji mogą nie ochronić dostawców płynności. Manipulacje ceną orakla to nie nowość: podobny przypadek na Stellar Raport Bonzo nawiązuje też do wcześniejszego ataku na pulę pożyczkową w sieci Stellar. W lutym napastnicy wyprowadzili ok. 10 mln USD z puli pożyczkowej zarządzanej przez YieldBlox DAO po zmanipulowaniu ścieżki cenowej wykorzystywanej do wyceny zabezpieczenia USTRY. Cointelegraph opisywał wówczas podobieństwo metody: ingerencja w dane cenowe, którym protokół ufa przy obliczaniu wartości zabezpieczenia. Powtarzalność takich zdarzeń jest istotna. Wraz z rozwojem DeFi na kolejnych łańcuchach i wśród coraz większej liczby aktywów, słaby punkt często pozostaje ten sam: systemy zależne od zewnętrznej wyceny muszą traktować walidację orakli jako infrastrukturę krytyczną dla bezpieczeństwa, a nie standardowy komponent do szybkiej integracji. Co dalej obserwować Z raportu Bonzo wynika, że prace naprawcze skoncentrowano na warstwie weryfikatora orakla, a Supra deklaruje wdrożenie rozwiązania. Rynek będzie prawdopodobnie śledził, czy poprawiona weryfikacja zapobiegnie podobnym obejściom walidacji podpisu lub feedów cenowych w innych integracjach, oraz czy pojawią się dodatkowe audyty lub zmiany dostawcy orakli w miarę jak sektor DeFi nadal mierzy się z kolejnymi incydentami bezpieczeństwa. Tekst pierwotnie opublikowano pod tytułem Bonzo Lend Reports $9M Loss After Oracle Exploit on Hedera w serwisie Crypto Breaking News.