Атака на DeFi-протокол Bonzo Lend: маніпуляція оракулом обійшлася в $9 млн
Екосистема Hedera втратила понад $9 мільйонів внаслідок злому кредитного протоколу Bonzo Lend. Інцидент, який призвів до повного призупинення роботи сервісу, став класичним прикладом атаки на інфраструктурний елемент — ціновий оракул.
Зловмисник використав вразливість у сторонньому постачальнику даних Supra. Внісши лише 250 токенів SAUCE як заставу, хакер передав оракулу фіктивну ціну цього активу, завищивши її приблизно в трильйон разів. Це дозволило йому миттєво позичити колосальні суми — близько 6,6 мільйона USDC та 34,5 мільйона wHBAR — за практично нульового забезпечення.
Команда Bonzo Finance оперативно зафіксувала аномалію та призупинила роботу кредитного пулу, а також програму нарахування балів. Важливо підкреслити: розробники прямо заявляють, що смарт-контракти самого протоколу не були скомпрометовані. Корінь проблеми криється в помилці системи верифікації цін постачальника оракулів Supra.
Наразі ведеться робота з партнерами по мережі Hedera для аналізу події та вироблення плану відновлення коштів. Цікавий поворот: одна з адрес, що брала участь у виведенні близько $1 мільйона, ідентифікувала себе як «білий хакер» та заявила про намір повернути викрадені активи.
Аналітика Cryptalist: Цей інцидент — чергове нагадування про те, що DeFi-протоколи, які покладаються на зовнішні оракули, створюють величезну поверхню для атак. Навіть бездоганний код смарт-контрактів не захистить, якщо зруйнується фундамент довіри до постачальника даних. Ринок має переглянути підхід до безпеки оракулів — або впроваджувати децентралізовані рішення з багаторазовою верифікацією, або використовувати більш консервативні механізми розрахунку вартості застави.