Penulis: CryptoSlate
Kompilasi: Deep Tide TechFlow
Panduan Deep Tide: Sebuah aset jaminan altcoin yang hanya bernilai beberapa dolar, berhasil meminjam 9,05 juta dolar melalui kelemahan tanda tangan nol pada validator oracle. Insiden ini mengungkap titik buta dalam verifikasi matematika yang diabaikan dalam infrastruktur DeFi: ketika validator salah mengira identitas matematika sebagai bukti otorisasi, aturan rasio pinjaman terhadap nilai yang dirancang dalam protokol justru menjadi bumerang.
Protokol pinjam-meminjam berbasis Hedera, Bonzo Lend, telah mengunci fungsi penarikan, setelah sebuah validator oracle menerima bukti yang berisi tanda tangan nol dan kunci publik, memungkinkan sebuah dompet meminjam 9,05 juta dolar dengan 250 SAUCE sebagai jaminan.

Hingga 13 Juli, Bonzo Lend dan Bonzo Points masih dalam status ditangguhkan, halaman status resmi protokol menunjukkan bahwa Bonzo Lend dan semua pasar aset yang terdampak sedang dalam pemeliharaan.
Sementara Bonzo Finance Labs dan Bonzo Finance Foundation menentukan jalur pemulihan dan syarat pembukaan kembali, penyedia likuiditas masih belum dapat menarik dana.
Dompet A pertama-tama menyetor 250 SAUCE, yang nilainya hanya beberapa dolar. Pada pukul 00:51 UTC, ia mengirimkan pembaruan harga SAUCE/wHBAR yang membesar-besarkan nilai token tersebut sekitar 12 tingkat besaran, meskipun harga pasar tetap berada di sekitar 0,2 HBAR.
Delapan detik setelah harga yang dimanipulasi tiba di penyimpanan rantai oracle, dompet tersebut meminjam 6,63 juta USDC.
Kemudian ia meminjam lagi 34,5 juta wrapped HBAR, membuat total pokok yang ditarik dompet A mencapai sekitar 9,05 juta dolar menurut harga referensi Bonzo.
Bagaimana Nilai Nol Dapat Melewati Validator
Pembaruan yang dikirimkan tidak berisi tanda tangan oracle yang valid. Bidang tanda tangannya adalah [0,0], dan kunci publik komite yang dirujuk juga titik nol, yang dalam kriptografi disebut titik tak hingga.
Validator Supra mengirimkan input-input ini ke kontrak prakompilasi pasangan Hedera. Karena kedua titik mewakili identitas matematika, persamaan pasangan dengan desain mengembalikan nilai true.
Validator kemudian menganggap hasil itu sebagai bukti tanda tangan komite, karena tidak terlebih dahulu menolak input nol, identitas, dan non-subgrup.
Sederhananya, jaringan dengan benar menjawab persamaan yang diterimanya, dan validator salah mengira jawaban itu sebagai otorisasi.
Bonzo menyatakan bahwa kontrak peminjamannya kemudian menggunakan harga yang telah disimpan oracle untuk dieksekusi sesuai aturan rasio pinjaman terhadap nilai yang telah diprogram.
Dompet lain, Dompet B, meminjam sekitar 1 juta dolar saat harga anomali masih berlaku. Dompet ini menghubungi Bonzo, mengidentifikasi dirinya sebagai responder topi putih, dan menyatakan niat untuk mengembalikan dana.
Bonzo memperkirakan sekitar 1 juta dolar telah dipulihkan, meskipun dana belum dikembalikan, dan jumlah akhir masih belum pasti.
Bonzo melaporkan bahwa Supra telah memperbaiki validator, tetapi kolam pinjaman masih dalam keadaan ditutup.
Masalah yang tersisa termasuk apakah pengujian regresi mengonfirmasi bahwa validator menolak input identitas, apakah Bonzo akan menambahkan pemeriksaan deviasi harga atau memperketat parameter jaminan, serta bagaimana menangani aset yang tersedia saat penarikan dibuka kembali.
Hingga 13 Juli, halaman status resmi Bonzo terus mencantumkan insiden ini sebagai belum terselesaikan. Pembaruan resmi terbaru mereka yang dirilis pada 11 Juli menyatakan protokol masih dalam status ditangguhkan.
Bonzo belum mengumumkan kompensasi, tanggal pembukaan kembali, atau syarat penarikan bagi pengguna, membuat penyedia likuiditas bergantung pada rencana pemulihan selanjutnya.





