Bonzo Lend mất 9 triệu USD do lỗi oracle làm tăng giá SAUCE

3 giờ trước đây
4 phút đọc
2 lượt xem

Giao thức cho vay Bonzo Lend bị tấn công

Bonzo Lend, một giao thức cho vay dựa trên nền tảng Hedera, đã mất khoảng 9,05 triệu USD sau khi một kẻ tấn công thao túng giá của SAUCE, loại tài sản thế chấp được sử dụng trong giao thức. Sự cố bắt đầu vào ngày 11 tháng 7 năm 2026, khi một ví đã gửi một giá SAUCE giả đến hợp đồng oracle bên thứ ba, Supra.

Kẻ tấn công đã gửi 250 SAUCE, chỉ trị giá vài đô la, trước khi hệ thống xử lý coi các token này là có giá trị cao. Tám giây sau khi giá giả được đưa vào mạng lưới, ví đó đã vay 6,63 triệu USDC và hơn 34,5 triệu HBAR đã được bọc. Bonzo mô tả khoản lỗ này là “khoảng 9,05 triệu USD.” Giao thức đã tạm dừng Bonzo Lend vào lúc 01:41 UTC và ngừng Bonzo Points vào sáng hôm đó. Tuy nhiên, Bonzo Vaults, Bonzo Bridge và việc staking BONZO vẫn tiếp tục hoạt động.

Nguyên nhân và phản ứng

Báo cáo sự cố của Bonzo đã truy vết sự kiện này đến quy trình xác minh chữ ký của Supra. Cập nhật đã mang một chữ ký bằng không thay vì một chữ ký hợp lệ từ ủy ban oracle của Supra. Bonzo cho biết bộ xác minh đã không từ chối các đầu vào có giá trị bằng không trước khi gửi chúng đến hợp đồng hệ thống ghép nối của Hedera.

“Không có chữ ký oracle hợp lệ nào bị làm giả” và giá thị trường thực của SAUCE không tăng.

Theo báo cáo, Supra đã triển khai một bản sửa lỗi cho hợp đồng bộ xác minh bị ảnh hưởng trên mạng chính Hedera. Bonzo cho biết các hợp đồng cho vay của mình đã đọc giá trị bị thao túng từ nguồn oracle được phê duyệt và tính toán sức mạnh vay từ dữ liệu đó. Nhóm đã tuyên bố rằng pool cho vay đã hoạt động như thiết kế sau khi nhận được đầu vào giả.

Phục hồi tài sản và tình hình hiện tại

Một tài khoản thứ hai đã vay khoảng 1 triệu USD trong khi giá bất thường vẫn còn hoạt động. Ví đó sau đó đã liên hệ với nhóm và tự mô tả mình là một người phản hồi white-hat, cho biết dự định sẽ trả lại tài sản. Bonzo đã loại trừ số tiền đó khỏi con số lỗ 9,05 triệu USD của mình vì các cuộc đàm phán phục hồi vẫn đang diễn ra. Tuy nhiên, báo cáo công bố chưa xác nhận việc hoàn trả.

Trước khi Bonzo công bố phát hiện của mình, crypto.news đã báo cáo rằng các nhà nghiên cứu bảo mật đã theo dõi hơn 5,8 triệu USD di chuyển từ Hedera đến Ethereum. Các nhà nghiên cứu cho biết ví đã chuyển tài sản qua LayerZero và chuyển đổi một phần tài sản từ Bitcoin đã được bọc thành Ether. HBAR đã giảm hơn 2% khi các giao dịch chuyển tiếp diễn ra.

Sự cố đã ảnh hưởng đến cặp SAUCE. Bonzo cho biết việc xuất bản hợp pháp đã khôi phục giá đó về khoảng 0,1964 HBAR vào lúc 01:36 UTC, năm phút trước khi tạm dừng pool cho vay. Báo cáo Bonzo sau đó đã nâng mức vốn chính xác được lấy bởi kẻ tấn công chính lên khoảng 9,05 triệu USD.

Hiện tại, Bonzo Lend vẫn đang tạm dừng trong khi Bonzo Finance LabsQuỹ Tài chính Bonzo làm việc với các đối tác về việc phục hồi tài sản, sửa chữa và kế hoạch rút tiền cho các nhà cung cấp thanh khoản. Nhóm chưa đặt ngày mở lại pool cho vay.