Bonzo Lend pierde 9 millones de dólares en un exploit de manipulación del oráculo de Hedera

HBAR-2,16%
SAUCE-0,50%
SUPRA-7,20%

El protocolo de préstamos Bonzo Lend, basado en Hedera, perdió aproximadamente 9 millones de dólares después de que un atacante manipuló el precio de los tokens SAUCE usados como colateral, lo que permitió que la cuenta pidiera prestados activos muy por encima del valor depositado. En un informe preliminar del incidente publicado el sábado, Bonzo atribuyó la brecha a un fallo en el verificador del oráculo on-chain de Supra, que aceptó un precio manipulado de SAUCE con una firma puesta a cero. El exploit ocurrió durante el segundo trimestre, que se convirtió en el trimestre con más hackeos registrado, con 83 incidentes y unos 755 millones de dólares robados en plataformas de finanzas descentralizadas.

El atacante depositó 250 SAUCE y pidió prestados 6,63 millones de dólares mediante un precio de oráculo manipulado

El atacante depositó 250 tokens SAUCE, que solo valían unos pocos dólares, antes de enviar una actualización de precio que infló el valor del token en aproximadamente 12 órdenes de magnitud. Luego, la cartera pidió prestados 6,63 millones de USDC y 34,5 millones de HBAR envuelto desde el pool de préstamos. Una vez que el oráculo aceptó el precio inflado, el depósito de bajo valor del atacante pareció respaldar una capacidad de préstamo de millones de dólares.

Bonzo afirmó que el incidente no fue causado por una vulnerabilidad en los contratos inteligentes de Bonzo Lend ni en la red principal de Hedera. El protocolo dijo que Supra reconoció el problema y desplegó una solución.

El verificador del oráculo de Supra aceptó una firma con ceros, habilitando una valoración falsa del colateral

Los fallos de oráculo son especialmente peligrosos en los préstamos descentralizados porque los valores del colateral determinan cuánto pueden pedir prestado los usuarios. Si un protocolo acepta un precio falso, puede tratar un colateral casi sin valor como suficiente seguridad para grandes préstamos. El atacante no necesita romper directamente el pool de préstamos: solo necesita convencer al protocolo de que el colateral vale mucho más que su valor real de mercado.

El depósito inicial de SAUCE valía solo una cantidad pequeña, pero el precio manipulado lo convirtió en una fuente aparente de poder de endeudamiento masivo. Luego, el pool de préstamos liberó activos líquidos contra un colateral que no podía respaldar la deuda. Muchos protocolos se centran en auditorías de contratos inteligentes y en la lógica de la aplicación, pero los mercados de préstamos solo son tan seguros como los sistemas de precios en los que confían.

El segundo trimestre registró 83 exploits de DeFi y 755 millones de dólares en pérdidas

El segundo trimestre tuvo 83 exploits y alrededor de 755 millones de dólares robados. Los exploits de puentes entre cadenas representaron 351 millones de dólares, mientras que los ataques a administradores comprometidos y la manipulación del precio de tokens falsos supusieron el 37% de las pérdidas del trimestre. CryptoRank registró 121 hackeos y aproximadamente 942 millones de dólares en pérdidas durante el periodo.

El capital también ha estado saliendo del sector. El valor total bloqueado (TVL) de DeFi cayó un 39% hasta más de 70 mil millones de dólares en junio desde alrededor de 115 mil millones en enero. Los repetidos incidentes de seguridad probablemente afectaron la confianza de los usuarios y reforzaron las salidas de capital.

YieldBlox en Stellar drenó 10 millones de dólares en febrero mediante una manipulación similar de precios

En febrero, los atacantes drenaron aproximadamente 10 millones de dólares de un pool de préstamos gestionado por un DAO de YieldBlox después de manipular la ruta de precios utilizada para valorar el colateral de USTRY. Esa manipulación les permitió pedir prestados activos más allá del valor real del token. La similitud es importante porque muestra que las debilidades del oráculo y de la ruta de precios no están aisladas a una sola cadena o a un único mercado de préstamos.

Cualquier protocolo que acepte valores de colateral de sistemas externos debe protegerse contra precios falsos, feeds desactualizados, fallos de firma, liquidez escasa y rutas de enrutamiento manipuladas. La verificación del oráculo, los topes de colateral, los interruptores automáticos (circuit breakers) y los mecanismos de pausa rápida son defensas centrales contra ataques que convierten depósitos pequeños en grandes reclamaciones sobre liquidez.

FAQ

¿Qué causó la pérdida de 9 millones de dólares en Bonzo Lend?
Bonzo Lend perdió aproximadamente 9 millones de dólares después de que un atacante manipuló el precio de los tokens SAUCE usados como colateral. El atacante depositó 250 tokens SAUCE con un valor de solo unos pocos dólares y luego envió una actualización de precio que infló el valor del token en aproximadamente 12 órdenes de magnitud, lo que permitió pedir prestados 6,63 millones de USDC y 34,5 millones de HBAR envuelto. Bonzo atribuyó el incidente a un fallo en el verificador del oráculo on-chain de Supra, que aceptó un precio manipulado de SAUCE con una firma puesta a cero.

¿Cuántos exploits de DeFi ocurrieron en el segundo trimestre?
El segundo trimestre registró 83 exploits con unos 755 millones de dólares robados en plataformas de finanzas descentralizadas. Los exploits de puentes entre cadenas representaron 351 millones de dólares del total, mientras que los ataques a administradores comprometidos y la manipulación del precio de tokens falsos supusieron el 37% de las pérdidas del trimestre. CryptoRank registró 121 hackeos y aproximadamente 942 millones de dólares en pérdidas durante el mismo periodo.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios