文章上線

Oracle Manipulation on Hedera: Bonzo Lend Loses Over Seventy-Seven Percent of TVL After $9 Million Exploit

Oracle Manipulation on Hedera: Bonzo Lend Loses Over Seventy-Seven Percent of TVL After $9 Million Exploit

目錄

你可能想知道的事

• 操作過的 oracle 價格是否可能允許借款人提領遠超過其抵押品價值的資產?

• 這類被利用之後,對網路總鎖倉價值(TVL)的即時及廣泛影響為何?

主要議題

Hedera 網路上的去中心化借貸協議 Bonzo Lend 遭遇重大安全事件,攻擊者利用第三方 oracle 整合中的弱點,從平台抽走大量資產。漏洞來自 Supra 提供之 oracle 合約的驗證缺陷。利用該缺陷,攻擊者能提交被操控的價格更新,虛增一種低價代幣的報價,從而針對被人為抬高的抵押品進行大量超額借貸。

攻擊流程始於惡意行為者存入數量相對較小、市值極低的 SAUCE 代幣作為抵押。攻擊者在以 250 SAUCE 作為抵押後,推動或觸發被操控的價格來源,使 SAUCE 的 HBAR 計價大幅上升。當 oracle 報告的抵押品價值被高估時,攻擊者便發起大量借款。根據 Bonzo 的初步事故報告,該帳戶借出大量資產:約 6.63 million USDC34.52 million wrapped HBAR。以報告中參考的 HBAR 價格 $0.06998 計算,這些提領的合計價值約為 $9.05 million

在主要攻擊者執行大量提領的同時,第二個錢包也利用被扭曲的價格借出額外資產,價值約為 $1 million。後續通訊顯示第二個錢包曾透過 Discord 聯絡 Bonzo,自稱為白帽回應者並表示有意歸還所借資金。Bonzo 在報告其主要損失數字時未將該第二錢包的資產列入,並表示在任何回收或歸還之前,事故期間被借出的總本金約為 $10.06 million

此漏洞的連鎖效應超出該協議本身,影響到更廣泛的 Hedera 生態系統。追蹤鎖倉資本的去中心化財務聚合器報告,該網路的總鎖倉價值(TVL)急劇下滑。根據報導引用的 DeFiLlama 數據,Hedera 的 TVL 顯著下跌至約 $25.7 million,在事件發生後 24 小時內約下降了 40%。Bonzo 自身的 TVL 則更劇烈地收縮,損失約 77% 的先前鎖定價值。

從技術角度來看,這起事件突顯了 oracle 相依性與外部資料提供者在 DeFi 中的系統性風險。Oracles 將鏈下價格資訊轉換為鏈上數值,借貸協議依賴這些數值來決定抵押比率、借貸上限與清算門檻。當 oracle 發布不正確或被惡意操控的價格時,這些安全檢查就會失效。即使核心借貸合約在抵押與清算邏輯上相當健全,被污染的輸入資料仍會使這些防護無效,因為它們是在對錯誤訊號作出反應。

在運營上,此事件說明需要多層防護:多來源 oracle、對價格更新的嚴格驗證、時加權(time-weighted)oracle,以及在偵測到異常價格時能暫停借款或清算的斷路器。協議也可考慮設置鏈上防護,限制對新存入或低流動性代幣的可借金額,或對此類資產的價格來源要求更長的延遲視窗。風險管理與事件應對計劃——例如與 oracle 提供者的快速溝通管道、受影響資金的取證追蹤、以及協調的補救步驟——對於減少損失並恢復信心也至關重要。

事後,公開揭露與編輯背景對於維持透明度十分重要。此次事件的報導中包含對編輯方針與新聞機構關係的評論。雖然此類揭露與技術性漏洞本身無直接關聯,但它們有助於讓讀者理解報導來源與公正性。

總結來說,Bonzo 事件對 DeFi 的建構者與使用者都是一個警示:外部資料來源的完整性與智能合約的正確性同等重要。任何連接元件的弱點都可能導致大規模的財務損失。此事件亦強調持續審計、跨協議的安全標準協作,以及動態應對策略在遏止並(若可能)從被利用事件中回復的重要性。

重點摘要表

面向描述
利用向量Supra oracle 合約的驗證缺陷允許被操控的價格更新。
即時損失主要攻擊者提領了約 $9.05 million
總借出在回收行動前約有 $10.06 million 的本金被借出。
網路影響Hedera TVL 下跌到約 $25.7 million,24 小時內下降近 40%
協議影響Bonzo 的 TVL 約下跌了 77%
緩解考量多來源 oracle、價格驗證、斷路器,以及對低流動性代幣的延遲定價。

後續...

展望未來,此事件可能加速對 oracle 提供者的審視,並促使去中心化借貸平台採取更強的合約與運營保障。協議可能採取更保守的風險參數、要求對價格來源的額外驗證,並建立能在調查進行時限制損害的快速應變機制。使用者與流動性提供者也可能變得更謹慎,傾向選擇具備多元化 oracle 架構與可驗證事件應對能力的協議。

在生態系層面上,改進的 oracle 安全標準與資料提供者與協議團隊之間更清晰的協調,能降低類似攻擊的可能性與影響。聲稱為白帽並歸還資金的第三方可能使損失核算與補救工作更複雜,突顯出協議運營方、資安研究人員與鏈上分析團隊之間透明且即時合作的必要性。

簡言之,Bonzo 事件強烈提醒我們 DeFi 的安全是組合性的:系統的安全性取決於最薄弱的外部依賴。持續強化韌性設計、監測與應變將是保護使用者並維持信任的關鍵。

最後編輯時間:2026/7/11
#Defi#去中心化

Claude AI

AI 智能編輯