A cracked metallic object on a circuit board
Kripto

Bonzo Lend, manipüle edilen oracle ile Hedera'da 9M$…

Açıklanan hata noktası, manipüle edilmiş bir fiyat güncellemesini kabul eden bir Supra doğrulayıcısıydı ve bu durum, kredi piyasaları için oracle bütünlüğü riskini yeniden canlandırdı.

Bonzo Lend, Hedera'da bir kredi protokolü, bir Supra doğrulayıcısının manipüle edilmiş bir fiyat güncellemesini kabul etmesinin ardından 9 milyon dolarlık bir kayıp yaşadığı bildirildi. Mekanizma, aşağı akış kredi mantığının yanlış bir fiyat üzerinden işlem yapmış olabileceği bir oracle bütünlüğü hatasına işaret ediyor.

Ana Noktalar

  • Bonzo Lend, Hedera DeFi ekosisteminde bir kredi protokolü olarak faaliyet göstermektedir.
  • Olay, 9 milyon dolarlık bir kayıp veya zarar olarak tanımlanmıştır.
  • Manipüle edilmiş bir fiyat güncellemesini kabul eden bir Supra doğrulayıcısı, olayı mümkün kılan mekanizma olarak tanımlanmıştır.

Bonzo Lend, Oracle fiyat manipülasyonu sonrası Hedera'da 9 milyon dolarlık bir kayıp bildirdi.

Hedera tabanlı bir kredi protokolü olan Bonzo Lend, bir olayla bağlantılı olarak 9 milyon dolarlık bir kayıp yaşadığı bildirildi.oracle fiyatlandırması. Mevcut paketteki tek somut mekanizma belirli ve tanıdık: bir Supra doğrulayıcısı manipüle edilmiş bir fiyat güncellemesini kabul etti.

Bu detay, başlık sayısından daha önemlidir. Hata noktası doğrulayıcı katmanı olduğunda, patlama alanı nadiren tek bir sözleşme satırı veya bir izole havuzla sınırlıdır. Bu bir bağımlılık sorunudur ve bağımlılık sorunları, DeFi kredi riskinin genellikle birikme eğiliminde olduğu yerlerdir.

Burada dikkat çeken, mevcut materyalde ne kadar az şeyin netleştirildiğidir. Onaylanmış etkilenen pazarlar yok, tanımlanmışvarlıkfiyatı manipüle edilen ve onaylanmış düzeltici adımların olmadığı. Tüccarlar, yüksek şiddet derecesine sahip bir etiket ve kontrolün nerede başarısız olduğuna dair tek bir kritik ipucu ile baş başa kalıyorlar.

Manipüle Edilmiş Bir Fiyat Güncellemesinin Kredi Risk Kontrollerini Nasıl Bozabileceği

Kredi protokolleri, uyguladıkları fiyat kadar muhafazakardır.Teminatfaktörler,tasfiyeeşik değerleri ve borç limitleri, referans fiyatının gerçeğe dayalı olduğunu varsayar. Eğer bir protokol kötü bir fiyat alırsa, mekanik olarak "doğru" hale gelebilirken ekonomik olarak yanlış olabilir.

Klasik model basittir. Manipüle edilmiş bir fiyat, teminatın olduğundan daha değerli görünmesini sağlayabilir, bu da yetersiz teminatla borçlanmaya ve değer çıkarımına olanak tanıyabilir. Aynı türde bir bozulma, likidasyonları bir risk kontrolünden bir saldırı yüzeyine çevirebilir; burada pozisyonlar yanlış bir referansa dayanarak likide edilir veya korunur.

Bu durumda, tanımlanan darboğaz bir doğrulayıcıdır. Oracle sistemlerinde, bir doğrulayıcı genellikle fiyat güncellemelerini doğrulayan ve bu güncellemeleri 'akıllı sözleşmeler'in tüketebileceği ortama ileten bileşendir.'akıllı sözleşmeler'Eğer bu doğrulayıcı manipüle edilmiş girdileri kabul ederse, aşağı akış protokolleri, borç verme matematiğinde herhangi bir “hata” olmaksızın yanlış fiyatlar üzerinde risk mantığını uygulayabilir.

Bu ayrım akademik değildir. Bir akıllı sözleşme hatası genellikle protokole özgüdür. Bir doğrulayıcı kabul sorunu, paylaşılan bir bağımlılık riski olup, her entegratörü aynı anda aynı soruyu sormaya zorlar: aynı kabul koşuluna maruz muyuz?

Mevcut Rapordan Neleri Doğrulayabiliriz ve Neleri Doğrulayamayız

Paketten onaylanmış olarak kabul edilebilecekler burada.

Bonzo Lend, Hedera üzerinde bir borç verme protokolüdür. Olay, 9 milyon dolarlık bir kayıp veya zarar olarak tanımlandı. Tanımlanan mekanizma, manipüle edilmiş bir fiyat güncellemesini kabul eden bir Supra doğrulayıcıyı içermektedir.

Tüccarların genellikle maruziyeti değerlendirmek için kullandığı her şey eksik.

Paket, hangi varlık fiyatının manipüle edildiğini, hangi piyasanın veya havuzun etkilendiğini veya saldırganın nasıl değer çıkardığını belirtmemektedir. Ayrıca, bağımsız doğrulama ve gerçek zamanlı izleme sağlamak için gerekli olan saldırgan adresleri veya işlem hash'leri gibi zincir üzeri tanımlayıcılar da sağlamamaktadır.

9 milyon dolarlık rakamın muhasebesi de belirsizdir. Paket, bu sayının gerçekleşmiş kayıpları, boşaltılan fonları, protokol kötü borcunu veya bir ön tahmini temsil edip etmediğini belirtmemektedir. Bu ayrım, depo sahipleri ve protokolün iflasına güvenen herhangi bir piyasa katılımcısı için çok farklı ikinci dereceden sonuçlar doğurur.

Sonunda, Bonzo Lend'in piyasaları duraklatıp duraklatmadığı, borçlanmayı devre dışı bırakıp bırakmadığı, teminat faktörlerini ayarlayıp ayarlamadığı veya Supra veya diğer Hedera ekosistem katılımcılarıyla bir yanıt koordine edip etmediği konusunda kesin bir bilgi yok.

Borç verme olaylarında, bu operasyonel detaylar genellikle istismar yoluyla aynı derecede önemlidir çünkü sistemin hala aktif, kısmen aktif veya etkili bir şekilde dondurulmuş olup olmadığını belirler.

"$9 milyon" ifadesinin ima ettiği ciddiyet ile tüccar açısından kritik olan ayrıntıların eksikliği arasındaki fark göz önüne alındığında, doğru tutum temkinli ama alarmda değil. Yüksek ciddiyetli, eksik bilgi, kötü kararların alındığı tam yer.

Hedera Borç Verme Piyasalarında Depozitörler ve Borç Alanlar için Acil Risk Kontrolleri

Bonzo Lend somut detaylar yayınlayana kadar, pratik odak belirsizliği daraltan sinyallere yöneliktir.

Öncelikle, olaydan sonra piyasaların duraklatılıp duraklatılmadığını, borçlanmanın devre dışı bırakılıp bırakılmadığını veya teminat faktörlerinin değiştirilip değiştirilmediğini netleştiren herhangi bir açıklamayı izleyin. Bu eylemler, protokolün istismar vektörünün kontrol altında mı yoksa hala aktif mi olduğuna dair çıkarım yapmanın en hızlı yoludur.

İkincisi, piyasanın, manipüle edilen varlığı veya piyasayı ve tam istismar yolunu tanımlayan bir otopsi raporuna ihtiyacı var; bu, borç alıp çekme, tasfiye manipülasyonu veya başka bir çıkarım yolu olabilir. Cüzdan adresleri ve işlem hash'leri ciddi risk değerlendirmesi için isteğe bağlı değildir. Onlarsız, tüccarlar akışları haritalayamaz, karşı tarafları tanımlayamaz veya kayıpların hala hareket edip etmediğini belirleyemez.

Üçüncüsü, Supra veya Hedera ekosistem yanıtlayıcılarından doğrulayıcı veya oracle yapılandırma değişiklikleri hakkında gelen herhangi bir güncelleme, Bonzo Lend'den öte önem taşıyacaktır. Sorun gerçekten "doğrulayıcı kabul edilen manipüle edilmiş fiyat güncellemesi" ise, aynı doğrulayıcı yolunu kullanan diğer protokollerin aynı kabul koşuluna maruz kalıp kalmadığını bilmesi gerekir.

Dördüncüsü, $9 milyonun neyi temsil ettiğine dair açıklama, piyasanın zararı nasıl fiyatlandıracağını şekillendirecektir. Gerçekleşen kayıplar, protokol kötü borçları ve ön tahminler her biri farklı zaman dilimleri ve farklı kurtarma mekanizmaları ima eder.

Oracle Doğrulaması, Tüccarların Stres Testi Yapması Gereken Dar Boğazdır

Bunu öncelikle bir oracle bütünlüğü olayı ve ikincil olarak Bonzo'ya özgü bir olay olarak ele alıyorum, çünkü sahip olduğumuz tek mekanizma, manipüle edilmiş bir fiyat güncellemesini kabul eden bir doğrulayıcıdır. Bu, aşağı akış borç verme mantığının tam olarak kodlandığı gibi çalıştığı klasik bir kurulumdur ve saldırgan, giriş yanlış olduğu için kâr elde eder.

Buradan itibaren önemli olan iki senaryo var.

Birinci senaryo, sınırlama. Bonzo Lend, piyasaların durdurulduğunu veya borç almanın hızlı bir şekilde devre dışı bırakıldığını doğruluyor, etkilenen varlığı ve istismar yolunu yayımlıyor ve Supra veya ekosistem yanıtlayıcıları, aynı kabul koşulunu engelleyen somut bir doğrulayıcı veya yapılandırma değişikliği tanımlıyor.

Doğrulama noktaları açıktır: adlandırılmış piyasa(lar), adlandırılmış varlık(lar), zincir üzerindeki tanımlayıcılar ve doğrudan doğrulayıcı kabul hatasıyla bağlantılı bir düzeltme açıklaması. Bunlar ortaya çıkarsa, olay çirkin kalır ama sınırlıdır ve tüccarlar için ana ders bağımlılık haritalamasıdır, varoluşsal protokol riski değil.

İkinci senaryo daha geniş bir maruziyettir. Otopsi, doğrulayıcı kabul sorununu tek seferlik bir entegrasyon hatası değil, diğer Hedera DeFi mekanlarının da güvendiği bir yol olduğunu ortaya koyuyor. Doğrulama noktası basittir: diğer protokoller paylaşılan maruziyeti kabul eder veya aynı doğrulayıcı yapılandırmasına acil değişiklikler uygular. Eğer bu olursa, ikinci dereceden etki sadece Bonzo’nun kayıp rakamı değildir.

Bu, katılımcıların oracle riskini yeniden fiyatlandırması ve doğrulama varsayımları yeniden inşa edilene kadar sermayeyi çekmesiyle Hedera borç verme piyasalarında likidite parçalanmasıdır.

“Paylaşılan bağımlılık” tezinin geçersiz kılma noktası, sorunun Bonzo Lend’in spesifik entegrasyonuna özgü olduğunu, diğer entegratörler için daha geniş bir doğrulayıcı kabul zayıflığı olmadığını açıkça gösteren bir bulgu olacaktır. Eğer teknik detaylar bunu gösteriyorsa, bu bir ekosistem düzeyinde oracle-doğrulama problemi yerine protokol düzeyinde bir başarısızlık haline gelir.

Her durumda, temel tez bir şey üzerine duruyor veya düşüyor: gelecek teknik detayların, bir doğrulayıcının diğer protokollerin de kabul edebileceği şekilde manipüle edilmiş bir fiyat güncellemesini kabul edip etmediğini göstermesi.

Kaynaklar