Атака на ценовой оракул Bonzo Lend: ущерб в $9 млн и урок для DeFi

DeFi-протокол Bonzo Lend, работающий на базе экосистемы Hedera, стал жертвой изощренной атаки, в результате которой злоумышленник вывел активы на сумму около $9 млн. Главной причиной инцидента стала компрометация стороннего ценового оракула, что вновь подчеркивает уязвимость инфраструктурных звеньев DeFi.
Механика атаки: триллионное завышение цены
Согласно детальному анализу команды Bonzo Finance, атакующий внес в качестве залога 250 токенов SAUCE. Затем, используя уязвимость в системе верификации цен поставщика оракулов Supra, он передал поддельную цену актива, завысив ее примерно в триллион раз. Это позволило ему занять около 6,6 млн USDC и 34,5 млн wHBAR при практически нулевом обеспечении. По сути, злоумышленник эксплуатировал разрыв между реальной рыночной стоимостью залога и фиктивными данными, полученными от оракула.
Реакция и последствия
После обнаружения атаки Bonzo Lend немедленно приостановил работу кредитного сервиса и программы начисления баллов. Разработчики подчеркивают, что инцидент связан с ошибкой в системе верификации цен поставщика оракулов Supra, а не с уязвимостями в смарт-контрактах самого протокола. В настоящее время команда сотрудничает с партнерами по экосистеме Hedera для анализа инцидента и подготовки плана восстановления активов.
Неожиданный поворот: «белый хакер»
Один из адресов, участвовавших в выводе около $1 млн во время «окна» аномальной цены SAUCE, идентифицировал себя как «белый хакер» и сообщил о намерении вернуть средства. Это может частично смягчить ущерб, но не отменяет системной проблемы.
Мой экспертный комментарий: Данный инцидент — классический пример того, как DeFi-протоколы, полагаясь на внешние источники данных, становятся уязвимыми для манипуляций. Ошибка в системе верификации цен оракула Supra — это не просто технический сбой, а сигнал для всего рынка: необходимо внедрять механизмы избыточности и автоматической валидации данных от нескольких независимых поставщиков. Иначе мы рискуем увидеть повторение подобных атак, которые подрывают доверие к DeFi как к безопасной альтернативе традиционным финансам.