Bonzo Lend, некстодиальный кредитный протокол, построенный на сети Hedera [HBAR], недавно подвергся эксплуатации. Инцидент произошел после того, как уязвимость в оракуле позволила злоумышленнику брать активы, превышающие внесенный залог. В результате Bonzo Lend понес убытки в размере 9,05 млн долларов.
Предварительные выводы связали взлом с изъяном в проверке подписи Supra, что позволило манипулировать данными о цене SAUCE. Затем злоумышленник получил недостаточно обеспеченные кредиты до того, как протокол приостановил активность.


В публикации в X Hedera подтвердила, что смарт-контракты Bonzo Lend и основная сеть Hedera не были скомпрометированы. Это открытие сузило причину сбоя до внешней инфраструктуры оракулов, а не безопасности блокчейна.
Тем временем, последствия эксплуатации быстро отразились на настроениях рынка. На момент публикации HBAR упал примерно до $0,068, а общая заблокированная стоимость (TVL) DeFi Hedera рухнула на 21,43% до 25,4 млн долларов. Это снижение отразило отток капитала, несмотря на то, что сама сеть осталась неподверженной атаке.


Тем не менее, этот инцидент выявил растущую важность устойчивых ценовых оракулов. По мере продолжения усилий по восстановлению, более надежные защитные механизмы и стандарты верификации оракулов, вероятно, станут необходимыми для защиты DeFi-кредитных протоколов.
Уязвимость оракула обнажает риски DeFi
Аудит смарт-контрактов Bonzo Lend определил, что с ними не было никаких проблем. Тем не менее, он также выявил, как атака оказалась успешной. Хотя протокол считывал манипулируемую цену SAUCE для расчета залога именно так, как это было определено протоколом, он делал это точно в соответствии с проектом.
Аудиторы исключили флеш-кредиты и манипулирование рынком на основе своих наблюдений, что объемы торгов SAUCE достигали пика всего в пару тысяч долларов.
Вместо использования этих методов злоумышленник воспользовался зависимостью протокола от доверенных данных оракулов. Хотя код выполняется безупречно, злоумышленники все равно могут использовать правила протокола против пользователей и владельцев протокола. Эта модель отражает повторяющийся риск в DeFi, когда сами правила становятся оружием, несмотря на безупречное выполнение кода. Такие эксплуатации логики протокола остаются повторяющейся категорией в базе данных взломов DefiLlama.
Следовательно, такая повторяющаяся модель заставляет протоколы внедрять экономическое моделирование, формальную верификацию и программы вознаграждения за обнаружение уязвимостей (bug bounties) в дополнение к традиционным аудитам смарт-контрактов.
Итоговое резюме
- Уязвимость оракула Hedera выявила критические риски в доверенных ценовых фидах.
- Пример с HBAR показал, что корректная логика протокола все еще может позволить эксплуатацию на миллионы долларов.






