Bonzo Lend, một giao thức cho vay và vay không giám sát được xây dựng trên mạng Hedera [HBAR], gần đây đã bị khai thác. Vụ khai thác xảy ra sau khi một lỗ hổng oracle cho phép kẻ tấn công vay tài sản vượt quá tài sản thế chấp đã đăng. Kết quả là Bonzo Lend chịu thiệt hại 9,05 triệu đô la.
Phát hiện ban đầu liên kết vụ vi phạm với một lỗ hổng trong xác minh chữ ký của Supra, cho phép thao túng dữ liệu giá SAUCE. Kẻ tấn công sau đó đã đảm bảo các khoản vay dưới mức thế chấp trước khi giao thức dừng hoạt động.


Trong một bài đăng trên X, Hedera xác nhận các hợp đồng thông minh của Bonzo Lend và mạng lõi của Hedera không bị xâm phạm. Khám phá đó thu hẹp nguyên nhân thất bại vào cơ sở hạ tầng oracle bên ngoài thay vì bảo mật blockchain.
Trong khi đó, vụ khai thác nhanh chóng tràn sang tâm lý thị trường. Tại thời điểm báo chí, HBAR giảm xuống khoảng 0,068 đô la, trong khi TVL DeFi của Hedera giảm mạnh 21,43% xuống 25,4 triệu đô la. Mức giảm này phản ánh việc rút vốn mặc dù bản thân mạng lưới vẫn không bị xâm phạm.


Tuy nhiên, vụ khai thác đã phơi bày tầm quan trọng ngày càng tăng của các oracle giá kiên cố. Khi nỗ lực phục hồi tiếp tục, các biện pháp bảo vệ oracle mạnh mẽ hơn và tiêu chuẩn xác minh có thể sẽ trở nên thiết yếu để bảo vệ các giao thức cho vay DeFi.
Lỗ hổng oracle phơi bày rủi ro DeFi
Việc kiểm tra hợp đồng thông minh của Bonzo Lend xác định rằng không có vấn đề nào liên quan đến nó. Tuy nhiên, nó cũng xác định cách cuộc tấn công đã thành công. Mặc dù giao thức đã đọc giá SAUCE bị thao túng để tính toán tài sản thế chấp chính xác như được giao thức định nghĩa, nhưng nó đã làm như vậy một cách chính xác như thiết kế.
Các kiểm toán viên đã loại trừ các khoản vay flash và thao túng thị trường dựa trên quan sát của họ về khối lượng giao dịch SAUCE chỉ đạt đỉnh ở mức vài nghìn đô la.
Thay vì sử dụng những phương pháp đó, kẻ tấn công đã khai thác sự phụ thuộc của giao thức vào đầu vào oracle đáng tin cậy. Mặc dù mã thực thi hoàn hảo, nhưng kẻ tấn công vẫn có thể vũ khí hóa các quy tắc giao thức chống lại người dùng và chủ sở hữu giao thức. Mô hình đó phản ánh một rủi ro DeFi tái diễn nơi các quy tắc tự chúng bị vũ khí hóa bất chấp việc thực thi mã hoàn hảo. Những khai thác logic giao thức như vậy vẫn là một danh mục lặp lại trong cơ sở dữ liệu hack của DefiLlama.
Do đó, một mô hình lặp lại như vậy đang thúc đẩy các giao thức áp dụng mô phỏng kinh tế, xác minh chính thức và chương trình tiền thưởng lỗi, ngoài việc kiểm tra hợp đồng thông minh truyền thống.
Tóm tắt Cuối cùng
- Lỗ hổng oracle Hedera phơi bày rủi ro quan trọng trong các nguồn cấp dữ liệu giá đáng tin cậy.
- HBAR cho thấy logic giao thức đúng vẫn có thể cho phép khai thác hàng triệu đô la.








