Bonzo Lend perd $9M lors d'une exploitation sur Oracle suite à une fausse alerte SAUCE ; le prix entraîne une baisse du protocole

SAUCE-2,44%
HBAR-0,48%
SUPRA-1,40%

Bonzo Lend, un protocole de prêt sur le réseau Hedera, a perdu environ 9,05 millions de dollars le 11 juillet après qu’un attaquant ait exploité une faille dans le vérificateur d’oracle tiers de Supra. L’attaquant a envoyé une fausse mise à jour de prix pour le token SAUCE via le vérificateur en soumettant une signature tout en zéros qui a été validée à tort, gonflant le prix de SAUCE d’environ douze ordres de grandeur. L’exploit a permis à l’attaquant d’emprunter contre une garantie valant une fraction des prêts pris, vidant les pools de prêt du protocole. Hedera a confirmé que l’incident était isolé au vérificateur d’oracle externe et n’a pas compromis la chaîne de consensus du réseau ni ses services essentiels. Supra a reconnu la faille de vérification et a déployé un correctif pour le contrat concerné sur le mainnet Hedera.

L’attaquant exploite le vérificateur d’oracle de Supra le 11 juillet

L’attaque a débuté vers 00:51 UTC le 11 juillet, d’après le rapport d’incident de Bonzo. Un portefeuille identifié comme Wallet A par l’équipe a soumis une mise à jour de prix signée avec une signature tout en zéros, que le vérificateur de Supra a acceptée comme valide. La mise à jour a fixé le prix de SAUCE à un suivi de trente zéros, contre un prix de marché réel d’environ 0,2 HBAR, gonflant la valeur du token d’environ douze ordres de grandeur. Avec une garantie en SAUCE valorisée à ce niveau, le portefeuille a vidé les pools de prêt du protocole.

La signature tout en zéros a contourné le processus de vérification

Le rapport de Bonzo retrace la défaillance à la façon dont le vérificateur de Supra a vérifié les signatures. « Le précompilateur de pairage a été interrogé pour savoir si une équation donnée était vraie, et il a répondu correctement oui. Le vérificateur de Supra a ensuite traité ce “oui” comme une preuve d’une signature valide du comité, ce qu’elle n’était jamais », indique le rapport. L’équipe a souligné que ses propres contrats établissaient correctement le prix de la garantie et calculaient exactement la capacité d’emprunt, comme codé : « À aucun moment, les contrats de Bonzo Lend n’ont mal fonctionné ». Hedera a appuyé ce point, en indiquant que la défaillance se situait en amont, au niveau de la couche oracle, et que la chaîne de consensus du réseau ainsi que ses services essentiels n’ont pas été compromis.

Un portefeuille white-hat s’engage à restituer 1 million de dollars

Un deuxième portefeuille a utilisé environ 1 million de dollars grâce à la même faille. Ce portefeuille a depuis contacté l’équipe, s’est identifié comme un répondant white-hat et s’est engagé à restituer les fonds, a déclaré Bonzo. L’équipe exclut ce montant du chiffre de perte annoncé en titre.

Bonzo suspend ses produits alors que la TVL chute de 78 %

Bonzo a mis en pause ses produits Lend et Points après l’exploit, tandis que ses produits Vaults, Bridge et de staking continuent de fonctionner. La valeur totale verrouillée dans le protocole est passée d’environ 14,3 millions de dollars le 10 juillet à environ 3,2 millions de dollars d’ici le 12 juillet, soit une baisse d’environ 78 %, selon des données de DefiLlama. L’équipe a déclaré qu’elle coordonne avec le répondant white-hat le retour des fonds et qu’elle travaille sur les conditions pour lever la pause et rouvrir les retraits pour les fournisseurs de liquidité. Supra a déployé un correctif pour le contrat concerné sur le mainnet Hedera et travaille avec des chercheurs en sécurité pour analyser l’attaque.

FAQ

Qu’est-ce qui a causé l’exploit de Bonzo Lend le 11 juillet ?
L’exploit s’est produit lorsqu’un attaquant a soumis une mise à jour de prix pour le token SAUCE avec une signature tout en zéros que le vérificateur d’oracle tiers de Supra a acceptée à tort comme valide. Cela a permis à l’attaquant de gonfler le prix de SAUCE d’environ douze ordres de grandeur et d’emprunter environ 9,05 millions de dollars contre une garantie valant une fraction des prêts pris.

Comment Hedera et Supra ont-elles répondu à l’exploit oracle ?
Hedera a confirmé que l’incident était isolé au vérificateur d’oracle externe et a indiqué que la chaîne de consensus du réseau et ses services essentiels n’ont pas été compromis. Supra a reconnu la faille de vérification et a déployé un correctif pour le contrat concerné sur le mainnet Hedera, et travaille avec des chercheurs en sécurité pour analyser l’attaque.

Que s’est-il passé avec la valeur totale verrouillée (TVL) de Bonzo Lend après l’exploit ?
La valeur totale verrouillée de Bonzo Lend est passée d’environ 14,3 millions de dollars le 10 juillet à environ 3,2 millions de dollars d’ici le 12 juillet, soit une baisse d’environ 78 % selon des données de DefiLlama. Le protocole a mis en pause ses produits Lend et Points tandis que les produits Vaults, Bridge et de staking continuent de fonctionner.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire