A black device with a circuit design and the word
ارز دیجیتال

ضرر ۹ میلیون دلاری Bonzo Lend پس از دستکاری قیمت SAUCE

بونزو می‌گوید یک تأییدکننده اوراکل سوپرا یک به‌روزرسانی با امضای صفر را پذیرفته است که امکان قرض‌گیری ۶.۶۳ میلیون USDC و ۳۴.۵ میلیون HBAR بسته‌بندی شده را فراهم کرده است.

نوشته AI News Crypto Editorial Team7 دقیقه مطالعه

پروتکل وام‌دهی مبتنی بر هیدرا، بونزو لند، خسارت تقریبی ۹ میلیون دلار را پس از آنکه یک مهاجم قیمت اوراکل SAUCE را که به عنوان وثیقه استفاده می‌شد، دستکاری کرد، افشا کرد. بونزو این حادثه را به یک نقص در تأییدکننده اوراکل زنجیره‌ای سوپرا نسبت داد که به‌روزرسانی قیمت دستکاری‌شده‌ای با امضای صفر را پذیرفته بود و گفت که یک اصلاحیه پیاده‌سازی شده است.

نکات کلیدی

  • بونزو لند تخمین زد که پس از SAUCE تأثیر اقتصادی تقریباً ۹ میلیون دلاری خواهد داشت.ضمانتقیمت‌گذاری به گونه‌ای دستکاری شده بود که امکان وام‌گیری بسیار فراتر از ارزش سپرده‌گذاری شده را فراهم کند.
  • یک واریز ۲۵۰ SAUCE، که به عنوان ارزشی معادل چند دلار توصیف شده بود، قبل از به‌روزرسانی قیمت که ارزش SAUCE را به طور تقریبی ۱۲ مرتبه افزایش داد، انجام شد.
  • قیمت دستکاری شده برای قرض گرفتن ۶.۶۳ میلیون USDC و ۳۴.۵ میلیون HBAR بسته‌بندی شده از استخر وام Bonzo Lend استفاده شد.
  • بونزو علت اصلی را به فعالیت‌های زنجیره‌ای سوپرا مرتبط کرد.اوراکلتأییدکننده‌ای که یک به‌روزرسانی قیمت با امضای صفر را قبول کرد، و سوپرا این مشکل را تأیید کرده و یک راه‌حل ارائه داد.

پس از افزایش قیمت SAUCE به میزان ~12 مرتبه، Bonzo Lend خالی شد

افشای حادثه Bonzo Lend نمونه‌ای واضح از این است که چگونه وام‌دهی DeFi زمانی که ورودی قیمت خراب می‌شود، شکست می‌خورد. پروتکل تأثیر اقتصادی تخمینی را حدود 9 میلیون دلار پس از آنکه یک مهاجم قیمت SAUCE را که به عنوان وثیقه استفاده می‌شد، دستکاری کرد و سپس بر اساس آن ارزیابی افزایش یافته وام گرفت، اعلام کرد.

آنچه که به چشم می‌آید، عدم تطابق مقیاس بین نقطه شروع مهاجم و ضرر حاصل از پروتکل است. Bonzo واریز اولیه مهاجم را 250 SAUCE توصیف کرد که تنها چند دلار ارزش داشت، اما وام‌گیری بعدی به اندازه‌ای بزرگ بود که نقدینگی معناداری از استخر خارج کرد.

Bonzo همچنین خط روشنی را در مورد آنچه که به اعتقادش شکست نخورده ترسیم کرد. پروتکل تأکید کرد که این حادثه یک آسیب‌پذیری در قراردادهای Bonzo Lend یا شبکه اصلی Hedera نبود. این چارچوب برای نحوه تفکر معامله‌گران در مورد ریسک‌های درجه دوم مهم است. حتی زمانی که منطق لایه پایه و برنامه "عملی" است، وابستگی‌های خارجی می‌توانند همچنان یک مسیر مستقیم از داده‌های بد به آسیب واقعی ترازنامه ایجاد کنند.

چگونه 250 SAUCE به کلید 6.63 میلیون USDC و 34.5 میلیون Wrapped HBAR تبدیل شد

مکانیسم‌ها، همانطور که Bonzo توصیف کرد، ساده و خشن هستند.

مهاجم 250 SAUCE واریز کرد و سپس یک به‌روزرسانی قیمت ارائه داد که ارزش SAUCE را به طور تقریبی 12 مرتبه افزایش داد. پس از پذیرش آن قیمت دستکاری شده، حساب می‌توانست وثیقه تقریباً بی‌ارزش را به عنوان وثیقه با ارزش بالا تلقی کند.

از آنجا، استخراج از طریق وام‌گیری انجام شد، نه سرقت مستقیم وجوه از یک خزانه. Bonzo گفت که کیف پول 6.63 میلیون USDC و 34.5 میلیون Wrapped HBAR از استخر وام گرفت.

به همین دلیل است که مزیت این سوءاستفاده یکپارچگی داده‌ها بود، نه اندازه سرمایه. مهاجم نیازی به آوردن سرمایه معنادار به میز نداشت. "سرمایه" با تبدیل چند دلار SAUCE به یکدارایی با قیمت‌گذاری اوراکل تولید شد.که پروتکل علیه آن وام می‌دهد.

برای معامله‌گران، نقطه کانونی فوری تنها SAUCE spot نیست. دارایی‌های قرضی USDC و HBAR بسته‌بندی شده بودند که توجه را به شرایط نقدینگی استیبل‌کوین و دارایی‌های بسته‌بندی شده در اطراف Hedera DeFi جلب می‌کند. از نظر عملی، سوال این است که آن دارایی‌ها کجا می‌توانند بعداً حرکت کنند و شرایط نقدینگی چقدر سریع زمانی که یک استخر وام این اندازه آسیب می‌بیند، تنگ می‌شود.استیبل‌کوینو شرایط نقدینگی دارایی‌های بسته‌بندی شده.

تأییدکننده اوراکل Supra یک به‌روزرسانی قیمت با امضای صفر را پذیرفت، بونزو می‌گوید.

نسبت‌گذاری علت ریشه‌ای بونزو به یک حالت شکست خاص اشاره دارد: تأییدکننده اوراکل زنجیره‌ای.

بونزو گفت که این حادثه ناشی از یک نقص در تأییدکننده اوراکل زنجیره‌ای Supra بود که قیمت دستکاری شده SAUCE را با امضای صفر پذیرفت. طبق گفته بونزو، Supra این مشکل را تأیید کرد و یک اصلاحیه را مستقر کرد.

این جزئیات بار دقت را تغییر می‌دهد. اگر نقص در تأییدکننده‌ای باشد که یک به‌روزرسانی با امضای نامعتبر را می‌پذیرد، سوال کلیدی این نیست که آیا ریاضیات وام بونزو اشتباه بوده است یا خیر. بلکه این است که آیا فرضیات ادغام و تأیید در مورد به‌روزرسانی‌های قیمت شخص ثالث به اندازه کافی برای شرایط خصمانه قوی بودند یا خیر.

بیانیه بونزو که نه شبکه اصلی Hedera و نه قراردادهای Bonzo Lend آسیب‌پذیری بودند، در یک معنا شعاع انفجار را محدود می‌کند، اما این به معنای حذف بازنگری در سطح اکوسیستم نیست. معامله‌گران نیازی به شکست زنجیره‌ای ندارند تا تقاضای حق بیمه ریسک بالاتر داشته باشند. آنها فقط به شواهدی نیاز دارند که یک وابستگی حیاتی می‌تواند دور زده شود و نقدینگی پروتکل به عنوان نتیجه تخلیه شود.

سیگنال‌هایی که معامله‌گران باید پس از اصلاح دنبال کنند: وضعیت بازار، جزئیات پس از مرگ، و ریسک سرایت.

این اصلاحیه پیاده‌سازی شده است، اما بسته چندین ناشناخته مرتبط با بازار را بدون حل باقی می‌گذارد.

اولاً، نیاز به تأیید وجود دارد که آیا Bonzo Lend بازارها را متوقف کرده، وام‌گیری را متوقف کرده یا پارامترهای وثیقه را پس از حادثه تغییر داده است. این واکنش عملیاتی تعیین می‌کند که آیا پروتکل در حالت مهار است یا در تلاش است که از آسیب عبور کند.

دوم، جزئیات پس از مرگ بیشتر از عدد اصلی اهمیت دارند. بسته مشخص نمی‌کند که زمان دقیق بهره‌برداری چه زمانی بوده، آیا هیچ‌گونه سرمایه‌ای بازیابی شده است یا اینکه آیا مهاجم شناسایی شده است یا خیر. این جزئیات شکل‌دهنده این خواهند بود که چگونه معامله‌گران قابلیت تکرار را ارزیابی می‌کنند و آیا این ضرر احتمالاً به یک ضرر واقعی برای کاربران تبدیل خواهد شد یا خیر.

سوم، جزئیات فنی پیگیری شده از Supra یک سیگنال وابستگی کلیدی است. نسبت‌سنجی Bonzo دقیق است، اما سوال دامنه از منظر بسته همچنان باز است: آیا سایر ادغام‌ها تحت تأثیر همان مشکل پذیرش امضای صفر قرار گرفته‌اند؟

در نهایت، سیگنال‌های زنجیره‌ای و بازار را در مورد نقدینگی USDC و HBAR بسته‌بندی شده در Hedera DeFi زیر نظر داشته باشید. مقادیر قرضی ۶.۶۳ میلیون USDC و ۳۴.۵ میلیون HBAR بسته‌بندی شده بود. اگر شرایط نقدینگی تنگ شود، اثر مرتبه دوم تنها ضرر یک پروتکل نیست. این یک بازنگری وسیع‌تر در مورد اینکه اکوسیستم چقدر اهرم را می‌تواند به‌طور ایمن پشتیبانی کند، است.

این به نظر می‌رسد که یک شکست در تأیید-اعتبارسنجی است، نه یک شکست زنجیره‌ای—اما هنوز هم بر حق بیمه ریسک Hedera DeFi تأثیر می‌گذارد.

من این را به عنوان یک شکست اعتبارسنجی اوراکل کتاب درسی در نظر می‌گیرم، زیرا دقیقاً همین‌طور بود که بونزو آن را بیان کرد: یک به‌روزرسانی قیمت SAUCE که دستکاری شده و امضای آن صفر شده بود، پذیرفته شد و آن پذیرش قدرت وام‌گیری را آزاد کرد که هرگز نباید وجود می‌داشت. زنجیره نیازی به شکستن نداشت. قراردادهای وام‌گیری نیازی به یک باگ واضح نداشتند. یک نقطه ضعف واحدلینکدر مسیر داده کافی بود.

الگوی قابل توجه عدم تقارن است. وثیقه اولیه حمله‌کننده ۲۵۰ SAUCE بود که تنها چند دلار ارزش داشت، اما پروتکل برآورد می‌کند که پس از قرض گرفتن ۶.۶۳ میلیون USDC و ۳۴.۵ میلیون HBAR بسته‌بندی شده، تأثیر آن حدود ۹ میلیون دلار است.

این نوع پروفایل زیان باعث می‌شود که معامله‌گران بپرسند "چه کسی سود می‌برد؟" و پاسخ همیشه در این حوادث یکسان است: هر کسی که در موقعیتی باشد که بتواند نقدینگی را از سیستمی استخراج کند که به یک قیمت‌سنج بیشتر از آنچه باید اعتماد دارد.

من سه سناریو را زیر نظر دارم و هر کدام نقاط تأیید روشنی دارند.

سناریوی اول، containment با نشت محدود اکوسیستم است. این تأیید می‌شود اگر افشاگری‌های پی‌درپی بونزو نشان دهد که اقدامات بازار قاطعانه‌ای مانند توقف یا تغییر پارامترها وجود دارد، به‌علاوه شواهدی از بهبودی یا کاهش. بسته هنوز این حقایق را ارائه نمی‌دهد، بنابراین این هنوز تأیید نشده است.

سناریوی دوم، بررسی جامع‌تر ادغام اوراکل است. این تأیید می‌شود اگر جزئیات فنی پی‌درپی سوپرا نشان دهد که پذیرش امضای صفر می‌تواند بر سایر استقرارها تأثیر گذاشته باشد، یا اگر پروتکل‌های دیگر فرضیات مشابهی درباره تأییدکننده‌ها افشا کنند. دوباره، بسته فقط تأیید می‌کند که یک اصلاح مستقر شده است، نه دامنه آن.

سناریوی سوم، آلودگی ناشی از نقدینگی در داخل Hedera DeFi است. این تأیید می‌شود اگر شرایط نقدینگی USDC و HBAR پوشش‌داده‌شده به وضوح پس از مقادیر گزارش‌شده وام تنگ‌تر شود، زیرا این‌ها دارایی‌هایی هستند که از استخر خارج شده‌اند. نکته کلیدی اینجا این است که معامله‌گران ریسک را در جایی که نقدینگی واقعاً حرکت کرده قیمت‌گذاری می‌کنند، نه جایی که وثیقه شروع شده است.

خوانش پایه من، که بر اساس حقایق موجود است، این است که این حادثه حق بیمه ریسک Hedera DeFi را حتی بدون یک شکست هسته‌ای Hedera افزایش می‌دهد و فرضیه تأیید می‌شود اگر افشاگری‌های پس از حادثه نشان دهد که عملیات بازار تنگ‌تر شده و حساسیت در نقدینگی USDC و HBAR پوشش‌داده‌شده پس از خروج 6.63 میلیون USDC و 34.5 میلیون HBAR پوشش‌داده‌شده حفظ شده است.

منابع