Bonzo Lend perd 9 millions de dollars dans une attaque par manipulation de l’oracle sur Hedera

HBAR-0,78%
SAUCE-1,45%
SUPRA0,90%
USDC0,01%

Le protocole de prêt Bonzo Lend, basé sur Hedera, a perdu environ 9 millions de dollars après qu’un attaquant a manipulé le prix des tokens SAUCE utilisés en garantie, permettant au compte d’emprunter des actifs bien au-delà de la valeur déposée. Dans un rapport préliminaire sur l’incident publié samedi, Bonzo a attribué la faille à un défaut du vérificateur d’oracle on-chain de Supra, qui a accepté un prix SAUCE manipulé portant une signature mise à zéro. L’exploit s’est produit au deuxième trimestre, devenu le trimestre le plus touché par des piratages jamais enregistrés, avec 83 incidents et environ 755 millions de dollars dérobés sur les plateformes de finance décentralisée.

L’attaquant a déposé 250 SAUCE et emprunté 6,63 millions de dollars via un prix d’oracle manipulé

L’attaquant a déposé 250 tokens SAUCE, qui ne valaient que quelques dollars, avant d’envoyer une mise à jour de prix qui a gonflé la valeur du token d’environ 12 ordres de grandeur. Le portefeuille a ensuite emprunté 6,63 millions USDC et 34,5 millions de HBAR enveloppé depuis le pool de prêt. Une fois l’oracle validé le prix surévalué, le faible dépôt de l’attaquant a semblé soutenir une capacité d’emprunt de plusieurs millions de dollars.

Bonzo a déclaré que l’incident n’était pas dû à une vulnérabilité dans les contrats intelligents de Bonzo Lend ou dans le réseau central de Hedera. Le protocole a indiqué que Supra a reconnu le problème et déployé un correctif.

Le vérificateur d’oracle de Supra a accepté une signature mise à zéro, permettant une fausse évaluation de la garantie

Les défaillances d’oracle sont particulièrement dangereuses dans les prêts décentralisés, car la valeur des garanties détermine le montant que les utilisateurs peuvent emprunter. Si un protocole accepte un faux prix, il peut considérer une garantie presque sans valeur comme suffisamment sécurisée pour de larges prêts. L’attaquant n’a pas besoin de casser directement le pool de prêt : il lui suffit de convaincre le protocole que la garantie vaut bien plus que sa valeur marchande réelle.

Le dépôt initial de SAUCE ne représentait qu’une faible somme, mais le prix manipulé l’a transformé en source apparente d’un pouvoir d’emprunt massif. Le pool de prêt a ensuite libéré des actifs liquides contre une garantie qui ne pouvait pas soutenir la dette. De nombreux protocoles se concentrent sur les audits des contrats intelligents et la logique applicative, mais les marchés de prêt ne sont aussi sécurisés que les systèmes de tarification sur lesquels ils s’appuient.

Deuxième trimestre : 83 exploits DeFi et 755 millions de dollars de pertes

Le deuxième trimestre a enregistré 83 exploits et environ 755 millions de dollars dérobés. Les exploits de ponts cross-chain ont représenté 351 millions de dollars, tandis que les attaques contre des administrateurs compromis et la manipulation de prix de tokens factices ont constitué 37 % des pertes du trimestre. CryptoRank a recensé 121 piratages et environ 942 millions de dollars de pertes sur la période.

Les capitaux quittent également le secteur. La valeur totale verrouillée de la DeFi a chuté de 39 %, passant à plus de 70 milliards de dollars en juin contre environ 115 milliards de dollars en janvier. Des incidents de sécurité répétés ont probablement pesé sur la confiance des utilisateurs et renforcé les sorties de capitaux.

YieldBlox sur Stellar vidé de 10 millions de dollars en février via une manipulation similaire des prix

En février, des attaquants ont vidé d’environ 10 millions de dollars un pool de prêt géré par un DAO YieldBlox après avoir manipulé le chemin de prix utilisé pour valoriser la garantie USTRY. Cette manipulation leur a permis d’emprunter des actifs au-delà de la valeur réelle du token. La similarité compte, car elle montre que les faiblesses d’oracle et du chemin de prix ne sont pas isolées à une seule chaîne ni à un seul marché de prêt.

Tout protocole qui accepte des valeurs de garantie provenant de systèmes externes doit se protéger contre les faux prix, les flux périmés, les échecs de signature, la faible liquidité, et les chemins de routage manipulés. La vérification d’oracle, les plafonds de garantie, les coupe-circuits (circuit breakers) et les mécanismes de pause rapides constituent des défenses centrales contre des attaques qui transforment de petits dépôts en grandes réclamations sur la liquidité.

FAQ

Qu’est-ce qui a causé la perte de 9 millions de dollars de Bonzo Lend ?
Bonzo Lend a perdu environ 9 millions de dollars après qu’un attaquant a manipulé le prix des tokens SAUCE utilisés comme garantie. L’attaquant a déposé 250 tokens SAUCE ne valant que quelques dollars, puis a soumis une mise à jour de prix qui a gonflé la valeur du token d’environ 12 ordres de grandeur, permettant l’emprunt de 6,63 millions USDC et 34,5 millions de HBAR enveloppé. Bonzo a attribué l’incident à un défaut du vérificateur d’oracle on-chain de Supra, qui a accepté un prix SAUCE manipulé portant une signature mise à zéro.

Combien d’exploits DeFi ont eu lieu au deuxième trimestre ?
Le deuxième trimestre a enregistré 83 exploits avec environ 755 millions de dollars dérobés sur les plateformes de finance décentralisée. Les exploits de ponts cross-chain ont représenté 351 millions de dollars du total, tandis que les attaques contre des administrateurs compromis et la manipulation de prix de tokens factices ont constitué 37 % des pertes du trimestre. CryptoRank a recensé 121 piratages et environ 942 millions de dollars de pertes sur la même période.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire