Bonzo Lend, un protocolo de préstamos en la red Hedera, perdió aproximadamente 9,05 millones de dólares el 11 de julio después de que un atacante aprovechara una falla en el verificador de oráculo de terceros de Supra. El atacante envió una actualización de precio falsa del token SAUCE a través del verificador mediante la presentación de una firma anulada, que se validó incorrectamente, inflando el precio de SAUCE en aproximadamente doce órdenes de magnitud. El exploit permitió al atacante pedir prestado contra colateral por una fracción del valor de los préstamos tomados, drenando los fondos de préstamos del protocolo. Hedera confirmó que el incidente estuvo aislado al verificador externo de oráculos y que no comprometió el consenso de la red ni sus servicios principales. Supra reconoció la falla de verificación y desplegó una corrección en el contrato afectado en el mainnet de Hedera.
El atacante explota el verificador de oráculo de Supra el 11 de julio
El ataque comenzó aproximadamente a las 00:51 UTC del 11 de julio, según el informe de incidentes de Bonzo. Una cartera etiquetada como Wallet A por el equipo envió una actualización de precio firmada con una firma anulada, que el verificador de Supra aceptó como válida. La actualización fijó el precio de SAUCE en uno seguido de treinta ceros, frente a un precio real de mercado de aproximadamente 0,2 HBAR, inflando el valor del token en aproximadamente doce órdenes de magnitud. Con el colateral de SAUCE valorado a ese nivel, la cartera drenó los fondos de préstamos del protocolo.
La firma anulada eludió el proceso de verificación
El informe de Bonzo traza la falla a cómo el verificador de Supra comprobó las firmas. “El precompile de emparejamiento fue preguntado si se mantenía una ecuación específica, y respondió correctamente que sí. Luego, el verificador de Supra trató ese ‘sí’ como prueba de una firma válida del comité, que nunca fue”, afirma el informe. El equipo subrayó que sus propios contratos fijaron el precio del colateral y calcularon exactamente la capacidad de préstamo tal como estaba codificado: “En ningún momento los contratos de Bonzo Lend funcionaron mal”. Hedera respaldó esa versión y señaló que el fallo ocurrió aguas arriba en la capa de oráculos, y que no se comprometieron el consenso de la red ni los servicios principales.
La cartera ‘white-hat’ se compromete a devolver 1 millón de dólares
Una segunda cartera obtuvo aproximadamente 1 millón de dólares usando la misma falla. Esa cartera se ha puesto en contacto con el equipo, se identificó como una respuesta de ‘white-hat’ y se comprometió a devolver los fondos, dijo Bonzo. El equipo excluye esta cantidad de la cifra de pérdidas destacada en el titular.
Bonzo pausa productos mientras el TVL cae un 78 por ciento
Bonzo pausó sus productos Lend y Points tras el exploit, mientras que sus productos Vaults, Bridge y de staking continúan funcionando. El valor total bloqueado en el protocolo cayó de aproximadamente 14,3 millones de dólares el 10 de julio a aproximadamente 3,2 millones de dólares al 12 de julio, una caída de alrededor del 78 por ciento, según los datos de DefiLlama. El equipo dijo que está coordinándose con el respondedor ‘white-hat’ para la devolución de fondos y trabajando en las condiciones para levantar la pausa y reabrir las retiradas para los proveedores de liquidez. Supra desplegó una corrección en el contrato afectado en el mainnet de Hedera y está trabajando con investigadores de seguridad para analizar el ataque.
Preguntas frecuentes
¿Qué causó el exploit de Bonzo Lend el 11 de julio?
El exploit ocurrió cuando un atacante envió una actualización de precio para el token SAUCE con una firma anulada que el verificador de oráculo de terceros de Supra aceptó incorrectamente como válida. Esto permitió al atacante inflar el precio de SAUCE en aproximadamente doce órdenes de magnitud y pedir prestado aproximadamente 9,05 millones de dólares contra un colateral por una fracción del valor de los préstamos tomados.
¿Cómo respondieron Hedera y Supra al exploit del oráculo?
Hedera confirmó que el incidente estuvo aislado al verificador externo de oráculos y afirmó que no se comprometieron el consenso de la red ni sus servicios principales. Supra reconoció la falla de verificación y desplegó una corrección en el contrato afectado en el mainnet de Hedera, y está trabajando con investigadores de seguridad para analizar el ataque.
¿Qué ocurrió con el valor total bloqueado de Bonzo Lend después del exploit?
El valor total bloqueado en Bonzo Lend cayó de aproximadamente 14,3 millones de dólares el 10 de julio a aproximadamente 3,2 millones de dólares al 12 de julio, una caída de alrededor del 78 por ciento según los datos de DefiLlama. El protocolo pausó sus productos Lend y Points mientras que Vaults, Bridge y los productos de staking continúan operando.