дата публікації

Хакери маніпулюють ціною альткоїна

джерело

Bonzo Lend, найбільший кредитний протокол в екосистемі Hedera, повідомив про збитки приблизно в 9,05 мільйона доларів через використання вразливості в сторонньому ціновому оракулі.

Після атаки сервіси Bonzo Lend та Bonzo Points були тимчасово призупинені. За інформацією, наданою Bonzo Finance Labs у співпраці з Bonzo Finance Foundation, напад відбувся 11 липня 2026 року близько 00:51 UTC.

Зловмисник зміг позичити значно більше, ніж фактична вартість SAUCE, використовуючи невелику суму застави, надіславши маніпульовану ціну SAUCE до оракулу Supra, який використовувався Bonzo Lend. Компанія стверджує, що вразливість не виникла через її власні смарт-контракти або дизайн кредитного протоколу, і що проблема полягала у механізмі верифікації підпису стороннього оракулу.

Нападник надіслав маніпульовану ціну SAUCE в $HBAR до смарт-контракту оновлення цін на Hedera mainnet.

Хоча реальна ринкова ціна SAUCE становила близько 0,2 $HBAR, значення, надіслане зловмисником, було вказано приблизно на 12 знаків після коми вище. Лише через вісім секунд після запису маніпульованої ціни, нападник використав невелику кількість SAUCE як заставу.

Завдяки даним оракулу, протокол оцінив цю заставу як надзвичайно високу, що дозволило зловмисникові позичити активи, що значно перевищують фактичну вартість внесеної застави. Згідно з розслідуванням Bonzo, маніпульоване оновлення ціни було прийнято через те, що ончейн-валідатор Supra підтвердив доказ без дійсного підпису.

Команда зазначила, що зловмисник не підробляв дійсний підпис оракулу і що не було змін у фактичній ринковій ціні SAUCE. Протокол зазначив, що неправильну ціну слід було б відхилити на рівні валідації оракулу перед тим, як вона дійшла до Bonzo Lend, але система валідації не виконала це. Також стало відомо, що другий рахунок позичив додаткові активи, поки аномальні дані цін були активні.

Цей рахунок пізніше зв’язався з командою, представившись як дослідник безпеки та висловивши намір повернути кошти.

Цю транзакцію протокол розглядає як частину процесу відновлення. Атака вплинула лише на сервіси Bonzo Lend та Bonzo Points, в той час як Bonzo Vaults, Bonzo Bridge і сервіси одностороннього стекингу та анстекингу для BONZO та XBONZO продовжують працювати в нормальному режимі. Кредитний пул на Bonzo Lend призупинений, поки тривають огляди та зусилля з відновлення.

Bonzo Finance Labs та Bonzo Finance Foundation повідомили, що оцінюють умови, за яких протокол може бути повторно відкритий, а також процес для постачальників ліквідності щодо виведення своїх активів. Команда обіцяє пізніше оприлюднити деталі щодо компенсації для користувачів, відновлення коштів і повторної активації протоколу.