
Bonzo Lend perd près de 9M$ après manipulation de prix
Bonzo dit qu'un vérificateur d'oracle Supra a accepté une mise à jour de signature nulle qui a permis d'emprunter 6,63 millions de USDC et 34,5 millions de HBAR enveloppés.
Le protocole de prêt basé sur Hedera, Bonzo Lend, a révélé une perte estimée à environ 9 millions de dollars après qu'un attaquant a manipulé le prix oracle de SAUCE utilisé comme garantie. Bonzo a attribué l'incident à un défaut dans le vérificateur oracle on-chain de Supra qui a accepté une mise à jour de prix manipulée portant une signature annulée, et a déclaré qu'un correctif avait été déployé.
Principaux enseignements
- Bonzo Lend a estimé un impact économique d'environ 9 millions de dollars après SAUCE.collatéralles prix ont été manipulés pour permettre un emprunt bien au-delà de la valeur déposée.
- Un dépôt de 250 SAUCE, décrit comme valant seulement quelques dollars, a précédé une mise à jour de prix qui a gonflé la valeur de SAUCE d'environ 12 ordres de grandeur.
- Le prix manipulé a été utilisé pour emprunter 6,63 millions de USDC et 34,5 millions de HBAR enveloppés depuis le pool de prêt de Bonzo Lend.
- Bonzo a lié la cause profonde à l'on-chain de Supra.oraclele vérificateur acceptant une mise à jour de prix avec une signature nulle, et Supra a reconnu le problème et a déployé un correctif.
Bonzo Lend drainé après que le prix de SAUCE ait été gonflé d'environ 12 ordres de grandeur
La divulgation de l'incident de Bonzo Lend est un exemple clair de la façon dont le prêt DeFi échoue lorsque l'entrée de prix échoue. Le protocole a estimé l'impact économique à environ 9 millions de dollars après qu'un attaquant ait manipulé le prix de SAUCE utilisé comme garantie, puis ait emprunté contre cette valorisation gonflée.
Ce qui ressort, c'est le décalage d'échelle entre le point de départ de l'attaquant et la perte résultante du protocole. Bonzo a décrit le dépôt initial de l'attaquant comme étant de 250 SAUCE valant seulement quelques dollars, pourtant l'emprunt en aval était suffisamment important pour drainer une liquidité significative du pool.
Bonzo a également tracé une ligne claire autour de ce qu'il considère ne pas avoir échoué. Le protocole a souligné que l'incident n'était pas une vulnérabilité dans les contrats de Bonzo Lend ou le réseau central de Hedera. Ce cadre est important pour la façon dont les traders devraient penser au risque de second ordre.
Même lorsque la logique de base et d'application fonctionne, les dépendances externes peuvent toujours créer un chemin direct de mauvaises données à des dommages réels au bilan.
Comment 250 SAUCE est devenu la clé de 6,63 millions de USDC et 34,5 millions de Wrapped HBAR empruntés
Les mécanismes, tels que Bonzo les a décrits, sont simples et brutaux.
L'attaquant a déposé 250 SAUCE, puis a soumis une mise à jour de prix qui a gonflé la valeur de SAUCE d'environ 12 ordres de grandeur. Une fois que ce prix manipulé a été accepté, le compte pouvait traiter une garantie presque sans valeur comme s'il s'agissait d'une garantie de haute valeur.
À partir de là, l'extraction a été exécutée par le biais d'emprunts, et non par un vol direct de fonds d'un coffre. Bonzo a déclaré que le portefeuille avait emprunté 6,63 millions de USDC et 34,5 millions de wrapped HBAR du pool de prêt.
C'est pourquoi l'avantage de l'exploitation était l'intégrité des données, et non la taille du capital. L'attaquant n'avait pas besoin d'apporter un capital significatif. Le « capital » a été fabriqué en transformant quelques dollars de SAUCE en un prix oracle d'unactifque le protocole prêterait contre.
Pour les traders, le point focal immédiat n'est pas seulement le spot SAUCE. Les actifs empruntés étaient des USDC et des HBAR enveloppés, ce qui attire l'attention sur stablecoin et les conditions de liquidité des actifs enveloppés autour de Hedera DeFi.
En termes pratiques, la question devient où ces actifs peuvent se déplacer ensuite, et à quelle vitesse les conditions de liquidité se resserrent lorsqu'un pool de prêt subit un coup de cette taille.
Le vérificateur de Supra Oracle a accepté une mise à jour de prix avec une signature nulle, dit Bonzo.
L'attribution de la cause racine de Bonzo pointe vers un mode de défaillance spécifique : le vérificateur oracle on-chain.
Bonzo a déclaré que l'incident provenait d'un défaut dans le vérificateur oracle on-chain de Supra qui a accepté un prix SAUCE manipulé portant une signature nulle. Supra a reconnu le problème et a déployé un correctif, selon Bonzo.
Ce détail déplace le fardeau de diligence. Si la défaillance se situe dans le vérificateur acceptant une mise à jour signée de manière invalide, alors la question clé n'est pas de savoir si les calculs de prêt de Bonzo étaient erronés. Il s'agit de savoir si les hypothèses d'intégration et de vérification autour des mises à jour de prix de tiers étaient suffisamment robustes pour des conditions adversariales.
La déclaration de Bonzo selon laquelle ni le réseau principal de Hedera ni les contrats de Bonzo Lend n'étaient la vulnérabilité réduit le rayon d'explosion dans un sens, mais cela n'élimine pas la revalorisation au niveau de l'écosystème. Les traders n'ont pas besoin d'une défaillance de chaîne pour exiger une prime de risque plus élevée.
Ils ont seulement besoin de preuves qu'une dépendance critique peut être contournée et que la liquidité du protocole peut être drainée en conséquence.
Signaux que les traders devraient suivre après le correctif : État du marché, détails post-mortem et risque de contagion.
Le correctif est déployé, mais le paquet laisse plusieurs inconnues pertinentes pour le marché non résolues.
Tout d'abord, une confirmation est nécessaire pour savoir si Bonzo Lend a suspendu les marchés, suspendu les emprunts ou modifié les paramètres de garantie après l'incident. Cette réponse opérationnelle détermine si le protocole est en mode de confinement ou s'il tente de gérer les dégâts.
Deuxièmement, les détails post-mortem comptent plus que le chiffre principal. Le paquet ne précise pas l'horodatage exact de l'exploitation, si des fonds ont été récupérés ou si l'attaquant a été identifié. Ces spécificités influenceront la manière dont les traders évaluent la répétabilité et si la fuite est susceptible de devenir une perte réalisée pour les utilisateurs.
Troisièmement, le détail technique de suivi de Supra est un signal de dépendance clé. L'attribution de Bonzo est précise, mais la question de la portée reste ouverte du point de vue du paquet : si d'autres intégrations ont été affectées par le même problème d'acceptation de signature nulle.
Enfin, surveillez les signaux on-chain et de marché autour de la liquidité USDC et wrapped HBAR dans Hedera DeFi. Les montants empruntés étaient de 6,63 millions USDC et 34,5 millions wrapped HBAR. Si les conditions de liquidité se resserrent, l'effet de second ordre n'est pas seulement la perte d'un protocole. C'est une revalorisation plus large de la quantité de levier que l'écosystème peut soutenir en toute sécurité.
Cela ressemble à un échec de vérification-validation, pas à un échec de chaîne—mais cela impacte tout de même la prime de risque DeFi de Hedera.
Je considère cela comme un échec de validation d'oracle-vérificateur de manuel, car c'est exactement comme Bonzo l'a formulé : une mise à jour de prix SAUCE manipulée avec une signature annulée a été acceptée, et cette acceptation a débloqué un pouvoir d'emprunt qui n'aurait jamais dû exister. La chaîne n'avait pas besoin de se briser. Les contrats de prêt n'avaient pas besoin d'un bug évident. Un seul point faibleliendans le chemin des données était suffisant.
Le modèle à noter est l'asymétrie. Le collatéral de départ de l'attaquant était de 250 SAUCE, décrit comme valant seulement quelques dollars, pourtant le protocole rapporte un impact estimé à environ 9 millions de dollars après que 6,63 millions de USDC et 34,5 millions de HBAR enveloppés ont été empruntés. C'est le type de profil de perte qui pousse les traders à se demander "qui en profite ?"
et la réponse est toujours la même dans ces incidents : quiconque est en position d'extraire de la liquidité d'un système qui fait davantage confiance à un flux de prix qu'il ne le devrait.
Il y a trois scénarios que je surveille, et chacun a des points de confirmation clairs.
Le premier scénario est celui de la containment avec un débordement limité de l'écosystème. Cela est confirmé si les divulgations de suivi de Bonzo montrent des actions de marché décisives comme une pause ou des changements de paramètres, ainsi que des preuves de récupération ou d'atténuation. Le paquet ne fournit pas encore ces faits, donc cela reste non confirmé.
Le deuxième scénario est un examen plus large de l'intégration des oracles. Cela est confirmé si les détails techniques de suivi de Supra indiquent que l'acceptation de la signature nulle aurait pu affecter d'autres déploiements, ou si d'autres protocoles divulguent des hypothèses de vérification similaires. Encore une fois, le paquet ne confirme que qu'un correctif a été déployé, pas l'étendue.
Le troisième scénario est la contagion alimentée par la liquidité à l'intérieur de Hedera DeFi. Cela est confirmé si les conditions de liquidité de l'USDC et du HBAR enveloppé se resserrent visiblement après les montants d'emprunt rapportés, car ce sont les actifs qui ont quitté le pool. La clé ici est que les traders évalueront le risque là où la liquidité a réellement bougé, pas là où le collatéral a commencé.
Mon analyse de base, fondée sur les faits disponibles, est que cet incident augmente la prime de risque de Hedera DeFi même sans échec du noyau de Hedera, et la thèse est confirmée si les divulgations post-incident montrent des opérations de marché resserrées et une sensibilité soutenue dans la liquidité de l'USDC et du HBAR enveloppé suite au drain de 6,63M USDC et 34,5M HBAR enveloppé.