Злоумышленник искусственно завысил стоимость залога SAUCE и вывел SAUCE$0.0138+0.12%$9 миллионов из протокола Bonzo Lend на блокчейне Hedera
HBAR$0.0696-0.78%. Атака стала возможной из-за уязвимости в механизме верификации цепочечного оракула Supra — это первый крупный инцидент такого рода в сети Hedera.
Как атакующий обманул оракул Supra
Протокол Bonzo Lend использует оракул Supra для получения актуальных цен на активы. Оракул — это внешний сервис, который поставляет блокчейну данные о стоимости токенов. Злоумышленник нашёл способ подменить данные о цене токена SAUCE, который используется в качестве залога.
После того как оракул передал завышенную цену, смарт-контракт Bonzo Lend принял её как достоверную. Это позволило атакующему занять под раздутое обеспечение сумму, которая в реальности не была покрыта активами. В результате из пулов ликвидности было выведено $9 миллионов.
Уязвимость в верификаторе Supra и реакция сообщества
Проблема заключалась не в самом протоколе Bonzo Lend, а в верификаторе цепочечного оракула Supra — компоненте, который проверяет подлинность поступающих данных. По имеющимся данным, уязвимость позволяла подделать подпись оракула и внедрить ложные значения цен.
Этот инцидент подтверждает тенденцию, описанную в нашем недавнем материале о том, что ИИ сокращает срок годности аудитов безопасности криптопроектов, позволяя хакерам быстрее находить уязвимости.
Это первый случай, когда уязвимость на уровне оракула привела к прямой потере средств на Hedera. Протоколы, полагающиеся на единый источник данных, становятся уязвимыми для манипуляций.
Команда Bonzo Lend временно приостановила работу протокола и начала расследование. Supra, в свою очередь, заявила о патче для верификатора. Однако часть украденных средств уже была перемещена через мосты в другие сети, что усложняет их возврат.
Контекст для DeFi: почему атака на Hedera уникальна
Эксплойты оракулов — один из самых распространённых типов атак в DeFi (децентрализованных финансах). В 2023 году такие инциденты привели к потерям на сотни миллионов долларов. Отличие этого случая — атака произошла на Hedera, сети, которая традиционно считалась менее подверженной подобным рискам из-за своей централизованной архитектуры консенсуса.
Bonzo Lend — крупнейший протокол кредитования на Hedera по объёму заблокированных средств (TVL). Потеря $9 миллионов составляет значительную часть его ликвидности. Это событие подчёркивает, что даже сети с альтернативным механизмом консенсуса не застрахованы от ошибок в интеграции сторонних сервисов.
Взлом Bonzo Lend вписывается в общую тревожную статистику: ранее мы писали, что хакеры украли $807 млн во втором квартале, а число взломов выросло на 59%.
После атаки стоимость токена SAUCE резко упала, что привело к дополнительным ликвидациям позиций других пользователей. Инцидент также вызвал вопросы о надёжности кросс-чейн мостов, через которые выводились средства.
Вопрос о том, как Supra будет компенсировать потери пользователей Bonzo Lend, остаётся открытым. Обычно в таких случаях протоколы либо запускают программу возврата средств, либо принимают решение о хардфорке (изменении блокчейна с откатом транзакций), но на Hedera подобных прецедентов ещё не было.