A black device with a circuit design and the word
क्रिप्टो

Bonzo Lend को SAUCE Oracle के दुरुपयोग से $9M का नुकसान

बोंजो ने कहा कि एक सुप्रा ऑरेकल वेरिफायर ने एक ज़ीरो-ड सिग्नेचर अपडेट को स्वीकार किया जिसने 6.63 मिलियन USDC और 34.5 मिलियन व्रैप्ड HBAR उधारी को सक्षम किया।

AI News Crypto Editorial Team द्वारा7 मिनट का पठन

हेडेरा-आधारित लेंडिंग प्रोटोकॉल बॉन्जो लेंड ने एक हमलावर द्वारा संपार्श्विक के रूप में उपयोग किए जाने वाले SAUCE के ऑरेकल मूल्य में हेरफेर करने के बाद लगभग ~$9 मिलियन के नुकसान का अनुमान लगाया। बॉन्जो ने इस घटना को सुप्रा के ऑन-चेन ऑरेकल वेरिफायर में एक खामी के कारण बताया जिसने एक शून्य हस्ताक्षर के साथ एक हेरफेर किया गया मूल्य अपडेट स्वीकार किया, और कहा कि एक समाधान लागू किया गया है।

मुख्य निष्कर्ष

  • बॉन्जो लेंड ने SAUCE के बाद लगभग $9 मिलियन के आर्थिक प्रभाव का अनुमान लगायासंपार्श्विककी कीमत को इस तरह से हेरफेर किया गया कि उधारी को जमा की गई राशि के मूल्य से बहुत अधिक सक्षम किया जा सके।
  • 250 SAUCE का एक जमा, जिसे केवल कुछ डॉलर के रूप में वर्णित किया गया, एक मूल्य अपडेट से पहले आया जिसने SAUCE के मूल्य को लगभग 12 आदेशों के परिमाण से बढ़ा दिया।
  • हेरफेर किया गया मूल्य 6.63 मिलियन USDC और 34.5 मिलियन लिपटे HBAR को बॉन्जो लेंड के लेंडिंग पूल से उधार लेने के लिए उपयोग किया गया।
  • बॉन्जो ने मूल कारण को सुप्रा के ऑन-चेनऑरेकलवेरिफायर से जोड़ा जिसने एक शून्य-हस्ताक्षर मूल्य अपडेट स्वीकार किया, और सुप्रा ने इस मुद्दे को स्वीकार किया और एक समाधान लागू किया।

बोंजो लेंड SAUCE की कीमत ~12 ऑर्डर के मैग्निट्यूड से बढ़ने के बाद drained हो गया।

Bonzo Lend की घटना का खुलासा इस बात का एक स्पष्ट उदाहरण है कि जब मूल्य इनपुट टूटता है तो DeFi उधारी कैसे प्रभावित होती है। प्रोटोकॉल ने एक हमलावर द्वारा SAUCE की कीमत में हेरफेर करने के बाद, जिसे संपार्श्विक के रूप में इस्तेमाल किया गया, उस बढ़ी हुई मूल्यांकन के खिलाफ उधार लेने के बाद आर्थिक प्रभाव का अनुमान लगभग $9 मिलियन लगाया।

जो बात स्पष्ट है वह है हमलावर के प्रारंभिक बिंदु और प्रोटोकॉल के परिणामस्वरूप होने वाले नुकसान के बीच का पैमाना असंगति। बॉन्ज़ो ने हमलावर की प्रारंभिक जमा राशि को 250 SAUCE के रूप में वर्णित किया, जो केवल कुछ डॉलर के बराबर थी, फिर भी नीचे की ओर उधारी इतनी बड़ी थी कि उसने पूल से महत्वपूर्ण तरलता को समाप्त कर दिया।

बोंजो ने यह भी स्पष्ट किया कि उसे क्या नहीं लगता कि असफल हुआ। प्रोटोकॉल ने जोर दिया कि यह घटना बोंजो लेंड के अनुबंधों या हेडेरा के मुख्य नेटवर्क में कोई कमी नहीं थी। यह ढांचा इस बात के लिए महत्वपूर्ण है कि व्यापारी द्वितीयक जोखिम के बारे में कैसे सोचें। भले ही बेस-लेयर और ऐप लॉजिक "काम कर रहे" हों, बाहरी निर्भरताएँ अभी भी खराब डेटा से वास्तविक बैलेंस शीट को नुकसान पहुँचाने के लिए एक सीधा रास्ता बना सकती हैं।

कैसे 250 SAUCE 6.63M USDC और 34.5M Wrapped HBAR उधारी की कुंजी बन गया

बोनज़ो द्वारा वर्णित यांत्रिकी सरल और क्रूर हैं।

हमलावर ने 250 SAUCE जमा किए, फिर एक मूल्य अपडेट प्रस्तुत किया जिसने SAUCE के मूल्य को लगभग 12 ऑर्डर के मान से बढ़ा दिया। एक बार जब उस हेराफेरी किए गए मूल्य को स्वीकार कर लिया गया, तो खाता लगभग बेकार संपार्श्विक को उच्च-मूल्य के संपार्श्विक के रूप में मान सकता था।

वहां से, निकासी उधारी के माध्यम से की गई, न कि किसी वॉल्ट से फंडों की सीधी चोरी। बॉन्ज़ो ने कहा कि वॉलेट ने लेंडिंग पूल से 6.63 मिलियन USDC और 34.5 मिलियन व्रैप्ड HBAR उधार लिए।

इसलिए इस हमले की ताकत डेटा की अखंडता थी, न कि पूंजी का आकार। हमलावर को मेज पर महत्वपूर्ण पूंजी लाने की आवश्यकता नहीं थी। "पूंजी" को कुछ डॉलर के SAUCE को एक ऑरकल-प्राइस में बदलकर बनाया गया था।संपत्तिप्रोटोकॉल इसके खिलाफ उधार देगा।

व्यापारियों के लिए, तत्काल ध्यान केंद्र केवल SAUCE स्पॉट नहीं है। उधार ली गई संपत्तियाँ USDC और लिपटे HBAR थीं, जो ध्यान को Hedera DeFi के चारों ओर स्थिर मुद्रा और लिपटे संपत्ति तरलता की स्थिति की ओर खींचती हैं। व्यावहारिक रूप से, सवाल यह बनता है कि वे संपत्तियाँ अगली बार कहाँ जा सकती हैं, और जब एक उधार पूल को इस आकार का झटका लगता है तो तरलता की स्थिति कितनी जल्दी कड़ी हो जाती है।स्थिर मुद्रा और लिपटे संपत्ति तरलता की स्थिति Hedera DeFi के चारों ओर। व्यावहारिक रूप से, सवाल यह बनता है कि वे संपत्तियाँ अगली बार कहाँ जा सकती हैं, और जब एक उधार पूल को इस आकार का झटका लगता है तो तरलता की स्थिति कितनी जल्दी कड़ी हो जाती है।

सुप्रा ऑरेकल वेरिफायर ने एक जीरो सिग्नेचर मूल्य अपडेट स्वीकार किया, बोनजो कहते हैं।

बोनजो की मूल कारण की पहचान एक विशिष्ट विफलता मोड की ओर इशारा करती है: ऑन-चेन ऑरेकल वेरिफायर।

बोनजो ने कहा कि यह घटना सुप्रा के ऑन-चेन ऑरेकल वेरिफायर में एक दोष से उत्पन्न हुई, जिसने एक हेरफेर किए गए SAUCE मूल्य को स्वीकार किया जिसमें एक जीरो सिग्नेचर था। सुप्रा ने इस मुद्दे को स्वीकार किया और एक सुधार लागू किया, बोनजो के अनुसार।

वह विवरण परिश्रम के बोझ को स्थानांतरित करता है। यदि विफलता उस वेरिफायर में है जो एक अमान्य रूप से हस्ताक्षरित अपडेट को स्वीकार करता है, तो मुख्य प्रश्न यह नहीं है कि बोनजो का उधार गणित गलत था। यह है कि तीसरे पक्ष के मूल्य अपडेट के चारों ओर एकीकरण और सत्यापन के अनुमान प्रतिकूल परिस्थितियों के लिए पर्याप्त मजबूत थे या नहीं।

बोनजो का यह बयान कि न तो हेडेरा का मुख्य नेटवर्क और न ही बोनजो लेंड के अनुबंध कमजोरियाँ थीं, एक अर्थ में विस्फोटक क्षेत्र को संकीर्ण करता है, लेकिन यह पारिस्थितिकी स्तर की पुनर्मूल्यांकन को समाप्त नहीं करता है। व्यापारियों को उच्च जोखिम प्रीमियम की मांग करने के लिए एक श्रृंखला की विफलता की आवश्यकता नहीं है। उन्हें केवल यह प्रमाण चाहिए कि एक महत्वपूर्ण निर्भरता को बायपास किया जा सकता है और कि प्रोटोकॉल की तरलता इसके परिणामस्वरूप निकाली जा सकती है।

सुधार के बाद व्यापारियों को ट्रैक करने के लिए संकेत: बाजार की स्थिति, पोस्ट-मॉर्टम विवरण, और संक्रामक जोखिम

फिक्स लागू कर दिया गया है, लेकिन पैकेट कई बाजार-संबंधित अज्ञात मुद्दों को अनसुलझा छोड़ता है।

पहले, यह पुष्टि करना आवश्यक है कि क्या Bonzo Lend ने बाजारों को रोका, उधारी को रोका, या घटना के बाद संपार्श्विक मानकों में बदलाव किया। यह संचालनात्मक प्रतिक्रिया निर्धारित करती है कि प्रोटोकॉल कंटेनमेंट मोड में है या नुकसान को संभालने की कोशिश कर रहा है।

दूसरे, पोस्ट-मॉर्टम विवरण मुख्य संख्या से अधिक महत्वपूर्ण हैं। पैकेट में सटीक एक्सप्लॉइट टाइमस्टैम्प, क्या कोई फंड रिकवर किया गया, या क्या हमलावर की पहचान की गई, यह निर्दिष्ट नहीं किया गया है। ये विशिष्टताएँ यह निर्धारित करेंगी कि व्यापारी पुनरावृत्ति को कैसे आंकते हैं और क्या यह ड्रेन उपयोगकर्ताओं के लिए एक वास्तविक हानि बनने की संभावना है।

तीसरा, सुप्रा से फॉलो-अप तकनीकी विवरण एक प्रमुख निर्भरता संकेत है। बोंजो का श्रेय सटीक है, लेकिन पैकेट के दृष्टिकोण से दायरे का प्रश्न खुला है: क्या अन्य एकीकरणों पर भी उसी शून्य-हस्ताक्षर स्वीकृति समस्या का प्रभाव पड़ा था।

अंत में, Hedera DeFi में USDC और wrapped HBAR तरलता के चारों ओर ऑन-चेन और मार्केट सिग्नल पर नज़र रखें। उधार ली गई राशि 6.63 मिलियन USDC और 34.5 मिलियन wrapped HBAR थी। यदि तरलता की स्थितियाँ कड़ी होती हैं, तो दूसरे क्रम का प्रभाव केवल एक प्रोटोकॉल का नुकसान नहीं है। यह इस बात का व्यापक पुनर्मूल्यांकन है कि पारिस्थितिकी तंत्र कितनी सुरक्षित रूप से लीवरेज का समर्थन कर सकता है।

यह एक वेरिफायर-मान्यता विफलता की तरह लगता है, न कि एक श्रृंखला विफलता—लेकिन यह फिर भी हेडेरा DeFi जोखिम प्रीमियम को प्रभावित करता है।

मैं इसे एक पाठ्यपुस्तक ओरेकल-प्रमाणक सत्यापन विफलता के रूप में मान रहा हूँ, क्योंकि यही ठीक है जिस तरह से बॉन्ज़ो ने इसे प्रस्तुत किया: एक हेरफेर किया गया SAUCE मूल्य अपडेट जिसमें शून्य हस्ताक्षर था, उसे स्वीकार किया गया, और उस स्वीकृति ने उधारी की शक्ति को अनलॉक कर दिया जो कभी भी अस्तित्व में नहीं होनी चाहिए थी। श्रृंखला को टूटने की आवश्यकता नहीं थी। उधारी के अनुबंधों को एक स्पष्ट बग की आवश्यकता नहीं थी। एक कमजोरलिंकडेटा पथ में पर्याप्त था।

ध्यान देने योग्य पैटर्न असममिति है। हमलावर का प्रारंभिक संपार्श्विक 250 SAUCE था, जिसे केवल कुछ डॉलर के रूप में वर्णित किया गया था, फिर भी प्रोटोकॉल 6.63 मिलियन USDC और 34.5 मिलियन व्रैप्ड HBAR उधार लेने के बाद ~$9 मिलियन के प्रभाव का अनुमान लगाता है। यह वह प्रकार का नुकसान है जो व्यापारियों को पूछने पर मजबूर करता है "किसे लाभ होता है?"

और इन घटनाओं में उत्तर हमेशा एक ही होता है: कोई भी जो एक ऐसे सिस्टम से तरलता निकालने के लिए स्थित है जो कीमत के फीड पर अधिक भरोसा करता है जितना उसे करना चाहिए।

मैं तीन परिदृश्यों पर नज़र रख रहा हूँ, और प्रत्येक के पास स्पष्ट पुष्टि बिंदु हैं।

पहला परिदृश्य सीमित पारिस्थितिकी तंत्र के फैलाव के साथ नियंत्रण है। यह तब पुष्टि होती है जब बॉन्ज़ो के अनुवर्ती खुलासे निर्णायक बाजार क्रियाओं को दिखाते हैं जैसे कि रोकना या पैरामीटर में बदलाव, साथ ही पुनर्प्राप्ति या कमी के सबूत। पैकेट अभी तक उन तथ्यों को प्रदान नहीं करता है, इसलिए यह अप्रमाणित बना हुआ है।

दूसरा परिदृश्य व्यापक ओरेकल एकीकरण की जांच है। यह तब पुष्टि होती है जब सुप्रा के अनुवर्ती तकनीकी विवरण से संकेत मिलता है कि शून्य-हस्ताक्षर स्वीकृति ने अन्य तैनातियों को प्रभावित किया हो सकता है, या यदि अन्य प्रोटोकॉल समान सत्यापनकर्ता धारणाओं का खुलासा करते हैं। फिर से, पैकेट केवल पुष्टि करता है कि एक सुधार तैनात किया गया था, दायरा नहीं।

तीसरा परिदृश्य हेडेरा DeFi के भीतर तरलता-प्रेरित संक्रामकता है। यह तब पुष्टि होती है जब रिपोर्ट किए गए उधार राशियों के बाद USDC और लिपटे HBAR की तरलता की स्थिति स्पष्ट रूप से कड़ी होती है, क्योंकि ये वे संपत्तियाँ हैं जो पूल से बाहर गईं। यहाँ कुंजी यह है कि व्यापारी उस जोखिम को मूल्यांकित करेंगे जहाँ तरलता वास्तव में चली गई, न कि जहाँ संपार्श्विक शुरू हुआ।

मेरी मूल पढ़ाई, उपलब्ध तथ्यों पर आधारित, यह है कि यह घटना हेडेरा DeFi के जोखिम प्रीमियम को बढ़ाती है, भले ही हेडेरा कोर में कोई विफलता न हो, और यह सिद्धांत तब पुष्टि होती है जब घटना के बाद के खुलासे बाजार संचालन को कड़ा दिखाते हैं और 6.63M USDC और 34.5M लिपटे HBAR के ड्रेन के बाद USDC और लिपटे HBAR की तरलता में निरंतर संवेदनशीलता को दर्शाते हैं।

स्रोत