Неизвестный злоумышленник вывел $9 миллионов из кредитного протокола Bonzo Lend в сети Hedera. Атака стала возможной из-за уязвимости в оракуле Supra, который определяет цену залога в протоколе. Об инциденте сообщило издание Cointelegraph со ссылкой на данные аналитиков.
Что именно произошло?
По данным Cointelegraph, злоумышленник воспользовался уязвимостью в верификаторе ончейн-оракула Supra. Оракул представляет собой сервис, который передаёт смарт-контрактам актуальную рыночную цену токенов, чтобы протокол мог правильно оценить залог пользователя. Когда это звено даёт сбой, вся цепочка расчётов протокола оказывается под угрозой.
В данном случае уязвимость позволила искусственно завысить цену токена SAUCE, который злоумышленник использовал в качестве залога. Получив завышенную оценку залога, он занял у Bonzo Lend $9 миллионов, намного больше, чем реальная стоимость внесённых токенов позволяла бы в нормальных условиях. Формально протокол просто выполнил заём по правилам, которые сами опирались на недостоверные данные.
Пока не сообщается, сколько времени прошло между моментом манипуляции курсом и моментом выдачи займа. В большинстве подобных атак это вопрос секунд или даже одной транзакции: злоумышленник поднимает цену залога, мгновенно берёт заём по новому курсу и возвращает котировку назад раньше, чем кто-либо успевает отреагировать.
Чем особенны Bonzo Lend и сеть Hedera?
Bonzo Lend относится к числу главных кредитных протоколов сети Hedera, платформы, которая давно позиционирует себя как enterprise-ориентированная альтернатива традиционным блокчейнам. SAUCE является нативным токеном SaucerSwap, одной из ведущих децентрализованных бирж на Hedera, поэтому именно через него часто движется ликвидность внутри сети.
Hedera заметно меньше Bitcoin или Ethereum по объёму заблокированных активов, поэтому одна атака на $9 миллионов ощутимо влияет на общую статистику сети. На крупных сетях подобная сумма скорее затерялась бы среди ежедневных объёмов торгов.
Supra позиционирует себя как провайдер оракулов нового поколения, обещающий более быстрые и дешёвые обновления цен по сравнению с традиционными решениями. Именно такие молодые проекты чаще всего становятся целью атак, ведь их механизмы верификации ещё не прошли проверку временем и масштабом, какую уже имеют оракулы-ветераны вроде Chainlink.
Почему оракулы так часто становятся мишенью хакеров?
Оракулы остаются одним из самых уязвимых звеньев в DeFi, ведь они соединяют ончейн-логику протокола с рыночными данными вне сети. Смарт-контракт сам по себе может быть написан безупречно, но если источник цены лжёт, вся защита теряет смысл.
Если оракул можно ввести в заблуждение даже на несколько секунд, злоумышленник успевает провести заём или обмен по фейковой цене раньше, чем систему успевают исправить. Подобные атаки годами остаются одним из самых распространённых способов вывести средства из кредитных протоколов в разных сетях, от крупных до нишевых. За это время манипуляции с оракулами стали одним из главных источников убытков в DeFi наряду с ошибками в смарт-контрактах и кражей приватных ключей. В подавляющем большинстве таких случаев проблема была не в логике самого протокола, а именно в источнике данных, которому он доверял.
- Манипуляция ценой: злоумышленник искусственно меняет курс токена, который видит оракул
- Задержка обновления данных оракула относительно реального рынка
- Использование низколиквидного токена, курс которого легко сдвинуть небольшой суммой
- Отсутствие независимой проверки данных сразу из нескольких источников
- Отсутствие задержки или лимита на резкое изменение курса за одну транзакцию
Разработчики протоколов годами пытаются закрыть эти пробелы, добавляя задержки обновления цен или сверку сразу с несколькими независимыми источниками. Но каждый новый оракул или новая сеть снова проходит тот же путь проб и ошибок, пока кто-то не найдёт слабое место раньше команды разработчиков.
Что это значит для пользователей Hedera?
Для обычного пользователя атака на оракул означает прежде всего падение доверия к конкретному протоколу, а не ко всей сети как таковой. Bonzo Lend предстоит восстанавливать ликвидность и, вероятно, пересматривать интеграцию с оракулом, который подвёл систему. Для тех, кто держит средства в кредитных протоколах в любой сети, эта история становится лишним напоминанием проверять, сколько источников цен использует протокол и есть ли защита от резких скачков курса за одну транзакцию.
Для сети Hedera подобные инциденты особенно чувствительны, ведь конкуренция за разработчиков и ликвидность между небольшими сетями и без того высока. Каждый крупный взлом на такой сети усиливает аргумент скептиков, считающих альтернативные блокчейны менее проверенными в бою, чем лидеры рынка.
Что будет дальше?
На момент публикации протокол Bonzo Lend не обнародовал официального заявления о статусе похищенных средств. Подобные истории обычно заканчиваются одним из двух сценариев. Либо команда договаривается со злоумышленником о частичном возврате средств в обмен на отказ от преследования, либо средства навсегда остаются вне протокола.
Для всей DeFi-индустрии каждый такой случай становится ещё одним аргументом в пользу независимого аудита оракулов, а не только смарт-контрактов самого протокола. Пока это остаётся слабым местом даже в самых зрелых DeFi-проектах.




Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *