Bonzo Lend 事件复盘:一个零签名漏洞,如何让协议损失 900 万美元?

marsbit发布于2026-07-14更新于2026-07-14

文章摘要

基于Hedera的借贷协议Bonzo Lend遭遇安全漏洞,损失约905万美元。攻击者利用协议预言机验证器的一个零签名漏洞,仅存入价值几美元的250枚SAUCE代币作为抵押品,便成功借出巨额资金。 具体过程是,攻击者提交了一个虚假的价格更新,将SAUCE代币价值恶意夸大了约12个数量级。关键在于,该更新附带的签名字段和引用的公钥均为密码学中的“零值”或“无穷远点”。验证器在进行数学配对验证时,因未拒绝这些特殊输入,错误地将恒等式结果视作有效授权签名,从而接受了被操纵的价格。 Bonzo Lend的智能合约随后依据该虚假价格和既定的贷款价值比规则,批准了巨额贷款。攻击者借此借出了663万USDC和3450万枚wHBAR。另有一钱包在漏洞修复前借出约100万美元,并自称白帽黑客,表示愿意归还。 目前,Bonzo Lend已暂停所有功能,正在与相关方确定恢复方案。预言机服务商Supra据称已修复验证器漏洞。但协议仍未公布具体的重新开放时间、用户赔偿或提款安排,流动性提供者资金暂时无法取出。此次事件暴露了DeFi协议在依赖外部预言机时,对底层数学验证边界情况处理不严的潜在风险。

作者:CryptoSlate

编译:深潮 TechFlow

深潮导读:一个价值几美元的山寨币抵押品,通过预言机验证器的零签名漏洞,成功借出 905 万美元。这起事件暴露了 DeFi 基础设施中被忽视的数学验证盲区:当验证器将数学恒等式误认为授权证明时,协议设计的贷款价值比规则反而成了帮凶。

基于 Hedera 的借贷协议 Bonzo Lend 已锁定提款功能,此前一个预言机验证器接受了包含零签名和公钥的证明,允许一个钱包以 250 枚 SAUCE 作为抵押借出 905 万美元。

截至 7 月 13 日,Bonzo Lend 和 Bonzo Points 仍处于暂停状态,协议的官方状态页面显示 Bonzo Lend 及所有受影响的资产市场处于维护中。

在 Bonzo Finance Labs 和 Bonzo Finance Foundation 确定恢复路径和重新开放条件期间,流动性提供者仍无法提款。

钱包 A 首先存入了 250 枚 SAUCE,价值仅几美元。在 UTC 时间 00:51,它提交了一个 SAUCE/wHBAR 价格更新,将该代币的价值夸大了约 12 个数量级,尽管市场价格仍维持在 0.2 HBAR 附近。

在被操纵的价格到达预言机的链上存储 8 秒后,该钱包借出了 663 万 USDC。

随后它又借出了 3450 万枚 wrapped HBAR,使钱包 A 提取的本金按 Bonzo 的参考价格计算约达 905 万美元。

零值如何通过验证器

提交的更新不包含有效的预言机签名。其签名字段为[0,0],而引用的委员会公钥也是零点,在密码学中称为无穷远点。

Supra 的验证器将这些输入发送到 Hedera 的配对预编译合约。由于两个点都代表数学恒等式,配对方程按设计返回了 true。

验证器随后将该结果视为委员会签名的证明,因为它没有首先拒绝零值、恒等式和非子群输入。

简单来说,网络正确回答了它收到的方程,而验证器将该答案误认为是授权。

Bonzo 表示其借贷合约随后使用预言机已存储的价格,按照其编程的贷款价值比规则执行。

另一个钱包 B 在异常价格仍然有效时借出了约 100 万美元。该钱包联系了 Bonzo,表明自己是白帽响应者,并声明打算归还资金。

Bonzo 统计约 100 万美元已被追回,尽管资金尚未归还,最终数额仍未确定。

Bonzo 报告称 Supra 已修复验证器,但借贷池仍处于关闭状态。

剩余问题包括回归测试是否确认验证器拒绝恒等式输入,Bonzo 是否会添加价格偏差检查或收紧抵押品参数,以及恢复提款时如何处理可用资产。

截至 7 月 13 日,Bonzo 的官方状态页面继续将该事件列为未解决。其 7 月 11 日发布的最新正式更新称协议仍处于暂停状态。

Bonzo 尚未宣布赔偿、重新开放日期或面向用户的提款条款,使流动性提供者依赖于接下来的恢复计划。

相关问答

QBonzo Lend协议是如何被攻击,导致损失约905万美元的?

A攻击者首先向协议存入仅值几美元的250枚SAUCE代币作为抵押品。然后,他提交了一个伪造的价格更新,通过一个预言机验证器的零签名漏洞,将SAUCE的价值夸大了约12个数量级。验证器错误地将一个数学恒等式(签名字段和公钥均为零)视为有效的授权证明,并接受了这个被操纵的价格。随后,协议按照其编程的贷款价值比规则,允许该攻击者钱包借出了663万USDC和3450万枚wrapped HBAR,总价值约905万美元。

Q什么是“零签名漏洞”?它在本事件中具体是如何被利用的?

A“零签名漏洞”是指验证器未能正确处理密码学中的零值或无穷远点。在本事件中,攻击者提交的价格更新数据中,签名字段为[0,0],引用的委员会公钥也是零点(无穷远点)。验证器将这些输入发送到密码学配对函数进行计算。由于零点的配对结果在数学上恒等于真(true),验证器错误地将这个数学结果当成了有效的委员会签名授权,从而接受了伪造的价格数据。

Q除了主要攻击者,还有谁涉及此次事件?他们是如何回应的?

A除了主要攻击者(钱包A),还有另一个钱包B在异常价格生效期间借出了约100万美元。钱包B随后主动联系了Bonzo协议,表明自己是“白帽响应者”,并声明有意归还所借资金。根据Bonzo的报告,约100万美元已被追回(尽管资金尚未实际归还),最终数额仍在确定中。

QBonzo Lend协议在事件发生后采取了哪些措施?

A事件发生后,Bonzo Lend协议立即锁定了所有提款功能,将协议及其所有受影响的资产市场置于“维护中”状态。其合作伙伴Supra已修复了预言机验证器的漏洞。然而,截至报告时,借贷池仍处于关闭状态,流动性提供者暂时无法提取资金。协议方正在与相关实验室和基金会确定恢复路径和重新开放的条件。

Q此次事件暴露了DeFi协议在哪些方面的设计或验证盲区?

A此次事件暴露了DeFi协议在基础设施和数学验证方面的关键盲区:1. **预言机验证逻辑缺陷**:验证器只检查数学方程式的结果是否为真,但没有预先拒绝零值、恒等式等无效输入,将数学正确性错误等同为业务逻辑上的授权。2. **协议规则被利用**:协议本身按照预设的贷款价值比(LTV)规则自动执行,当抵押品价格被恶意操纵后,这些规则反而成了放大损失的帮凶。3. **缺乏价格异常检查**:协议可能缺乏对预言机价格进行偏差或合理性检查的机制,无法及时拦截极端异常的价格更新。

你可能也喜欢

如何监管单股杠杆ETF?周四,全市场都盯着韩国政府这场会

一款上线仅一个半月的单股杠杆ETF产品,已导致韩国股市剧烈波动,并促使韩国最高经济决策层介入。韩国“F4”高层协调机制(财政经济部、金融委员会、韩国银行及金融监督院)将于本周四召开紧急会议,研究应对方案。 事件导火索是本周一KOSPI指数暴跌逾8%,触发年内第七次熔断。市场认为,这类允许对三星电子和SK海力士进行2倍押注的杠杆产品,其每日调仓机制在市场波动时会“涨时助涨、跌时助跌”,加剧价格偏离。自5月27日上线以来,KOSPI波动显著加剧。 金融监管层措辞罕见升级,金融监督院院长李赞镇直言“后悔没有拼尽全力阻止”产品推出,并承认存在“结构性困境”:一方面个人投资者已净买入近10万亿韩元,强制清算困难;另一方面产品经合法程序推出,强制退市将损害法规公信力。 目前监管层正从三条路径研究对策:提高保证金要求、限制每日价格波动幅度、调整杠杆比例上限。但官员也承认这些可能是临时修补。 数据印证了产品的冲击:产品上线后,KOSPI单日涨跌超3%的天数比例从之前的27%飙升至52%;今年市场已触发35次“边车”暂停交易,远超去年全年3次,熔断触发次数也超过该机制自2000年引入以来总数的一半。 随着市场持续震荡,外界对产品仓促上线的批评声高涨。周四的F4会议结论,将决定后续政策走向。

marsbit24分钟前

如何监管单股杠杆ETF?周四,全市场都盯着韩国政府这场会

marsbit24分钟前

交易

现货
活动图片