HomeZ – Banner Home NlBonzo Lending-exploit veegt $9 miljoen weg — Hedera verliest 40% TVL in...

Bonzo Lending-exploit veegt $9 miljoen weg — Hedera verliest 40% TVL in 24 uur

Een fout in een prijsoracle heeft het grootste leenprotocol op Hedera zojuist meer dan $9 miljoen gekost — en die zat al die tijd verborgen in een handtekeningverificatiecontract. De Bonzo lending-exploit heeft een schokgolf door het Hedera DeFi-ecosysteem gestuurd, een aanzienlijk deel van de total value locked van het netwerk weggevaagd en ongemakkelijke vragen opgeroepen over hoe gedecentraliseerde protocollen de externe datastromen beoordelen waarvan ze afhankelijk zijn.

Belangrijkste punten

  • Bonzo Lend verloor ongeveer $9,05 miljoen nadat een aanvaller een fout uitbuitte in een extern Supra-oraclecontract op Hedera.
  • De aanvaller manipuleerde de SAUCE-tokenprijzen door een frauduleuze prijsupdate in te dienen en leende vervolgens activa die de waarde van hun gestorte onderpand ruimschoots overtroffen.
  • Hedera’s total value locked daalde met bijna 40% in 24 uur, terwijl Bonzo’s eigen TVL met 77% kelderde.
  • Het Bonzo-protocol is gepauzeerd na de exploit om verdere verliezen te voorkomen.
  • Bonzo Labs en de Bonzo Finance Foundation coördineren actief de herstel- en remediatie-inspanningen.

Oracle-exploit resulteert in verlies van $9,05 miljoen voor Bonzo Lend

Bonzo Lend, een gedecentraliseerd leenprotocol dat op het Hedera-netwerk opereert, maakte een verlies van ongeveer $9,05 miljoen bekend nadat een aanvaller een kritieke fout vond en uitbuitte in een extern Supra-oraclecontract. De aanval was geen brute-force-inbraak — het was een precieze manipulatie van de prijsgegevens waarop de leenlogica van Bonzo vertrouwde om onderpandwaarden te beoordelen.

Volgens de naar buiten gekomen details stortte de aanvaller 250 SAUCE-tokens — activa met relatief weinig waarde — en diende vervolgens een gemanipuleerde prijsupdate in die de in HBAR uitgedrukte waarde van die tokens drastisch opblies. Met kunstmatig verhoogd onderpand in de boeken ging de aanvaller over tot het lenen van activa die de werkelijke waarde van hun storting ruimschoots overtroffen. Tegen de tijd dat de manipulatie werd ontdekt, was de schade al aangericht.

De financiële nasleep reikte veel verder dan Bonzo zelf. Hedera’s total value locked daalde met bijna 40% binnen 24 uur nadat de exploit openbaar werd. Bonzo’s eigen TVL kreeg een nog hardere klap en daalde met 77% — een cijfer dat illustreert hoe bloot een enkel oracle-lek een volledige deposantenbasis van een protocol kan achterlaten.

Waarom oracle-aanvallen zo verwoestend zijn voor leenprotocollen

Prijsoracles vormen het hart van elk gedecentraliseerd leenplatform. Ze vertellen het protocol wat een bepaalde asset waard is, wat bepaalt hoeveel een lener kan opnemen tegen zijn onderpand. Wanneer die prijsfeed wordt aangetast — zelfs maar kortstondig — valt het hele veiligheidsmechanisme weg. De aanvaller in dit geval hoefde de eigen code van Bonzo niet te kraken. Ze hoefden het alleen maar van verkeerde data te voorzien, en de logica van het protocol deed de rest.

Dit is wat oracle-exploits bijzonder moeilijk te verdedigen maakt. De kwetsbaarheid zat niet in Bonzo’s eigen smart contracts, maar in het handtekeningverificatieproces van het Supra-oracle — een externe afhankelijkheid waarop het leenmechanisme van Bonzo impliciet vertrouwde. Voor gebruikers die geld in het protocol hadden gestort, bleek dat vertrouwen de zwakste schakel.

Technische oorzaak: fout in Supra’s handtekeningverificatie

De hoofdoorzaak van de aanval is terug te voeren op een fout in de manier waarop het oraclecontract van Supra prijsupdate-handtekeningen verifieerde. Handtekeningverificatie is het mechanisme dat moet bevestigen dat een prijsupdate authentiek is voordat het protocol deze accepteert en erop reageert. Wanneer die controle faalt of kan worden omzeild, krijgt een aanvaller de mogelijkheid om willekeurige prijsgegevens in een protocol te duwen dat geen reden heeft om eraan te twijfelen.

Hoe de fout in de handtekeningverificatie de aanval mogelijk maakte

In dit geval stelde de fout de aanvaller in staat een gemanipuleerde prijsupdate voor SAUCE-tokens in te dienen zonder dat het verificatieproces dit opmerkte. Zodra de valse prijs werd geaccepteerd, werd het onderpand met lage waarde van de aanvaller behandeld alsof het veel meer waard was. Het leenmechanisme ontgrendelde vervolgens activauitnames die het werkelijke onderpand nooit had kunnen ondersteunen.

De elegantie — als je het zo kunt noemen — van de aanval zat in de eenvoud ervan. Er was geen geavanceerde exploit op contractniveau nodig. De aanvaller hoefde alleen het zwakke punt in de handtekeningverificatie van het oracle te begrijpen en een transactie te bouwen die daarvan profiteerde. Dat soort kwetsbaarheid, diep in een infrastructuurlaag waar veel protocollen op vertrouwen, heeft implicaties die veel verder reiken dan Bonzo alleen.

Reactie van het Bonzo-protocol en coördinatie van herstel

Opschorting van het protocol om verdere verliezen te voorkomen

In de onmiddellijke nasleep van de exploit werd het Bonzo-protocol gepauzeerd. Het stilleggen van de activiteiten is een standaard noodmaatregel in DeFi — het stopt het bloeden door verdere leningen, opnames of interacties te voorkomen die de verliezen zouden kunnen vergroten terwijl het team onderzoek doet. Voor gebruikers met tegoeden die nog in het protocol zitten, betekent de pauze dat hun activa bevroren blijven totdat de herstelinspanningen een duidelijker pad vooruit opleveren.

Coördinatie tussen Bonzo Labs en Bonzo Finance Foundation

Zowel Bonzo Labs als de Bonzo Finance Foundation hebben bevestigd dat zij actief werken aan herstel en remediatie. De reactie door beide entiteiten geeft aan dat de inspanning zowel het technische team als de bredere governance-structuur van het project omvat, wat relevant kan zijn wanneer beslissingen worden genomen over hoe — en of — getroffen gebruikers volledig kunnen worden gecompenseerd.

Hoe dat herstel er in de praktijk uitziet, blijft een open vraag. De omvang van het verlies — $9,05 miljoen tegenover wat een sterk verlaagde TVL lijkt te zijn — plaatst het protocol in een structureel moeilijke positie. Herstel bij DeFi-exploits van deze omvang omvat doorgaans een combinatie van interne treasury-middelen, onderhandelingen met derden of compensatieplannen die weken of maanden kunnen duren om af te ronden. De mate waarin Bonzo het vertrouwen van gebruikers kan herstellen, zal in hoge mate afhangen van de transparantie en snelheid van dat proces.

Voor het bredere Hedera DeFi-ecosysteem is deze episode een duidelijke herinnering dat oracle-beveiliging geen randzaak is — het is fundamentele infrastructuur. Eén gecompromitteerde prijsfeed, in één extern contract, was genoeg om het grootste leenprotocol op Hedera leeg te trekken en het vertrouwen in het hele netwerk binnen enkele uren te schaden.

FAQ

Waardoor werd de Bonzo Lend-protocolexploit veroorzaakt?

Een fout in de handtekeningverificatie van het Supra-oraclecontract stelde aanvallers in staat SAUCE-tokenprijzen te manipuleren en frauduleuze prijsgegevens aan het Bonzo-leenprotocol te voeren.

Hoeveel heeft Bonzo Lend verloren door de exploit?

Bonzo Lend verloor ongeveer $9,05 miljoen in de oracle-exploit.

Welke acties ondernam Bonzo Lend na de exploit?

Het Bonzo-protocol werd gepauzeerd om verdere verliezen te voorkomen, en zowel Bonzo Labs als de Bonzo Finance Foundation coördineren herstel- en remediatie-inspanningen.

Hoe profiteerde de aanvaller van de oracle-exploit?

De aanvaller stortte 250 SAUCE-tokens met lage waarde en diende een gemanipuleerde prijsupdate in die hun waarde opblies, en gebruikte dat kunstmatig opgeblazen onderpand vervolgens om activa te lenen die de werkelijke waarde van hun storting ruimschoots overtroffen.

{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Waardoor werd de Bonzo Lend-protocolexploit veroorzaakt?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Een fout in de handtekeningverificatie van het Supra-oraclecontract stelde aanvallers in staat SAUCE-tokenprijzen te manipuleren en frauduleuze prijsgegevens aan het Bonzo-leenprotocol te voeren.”}},{“@type”:”Question”,”name”:”Hoeveel heeft Bonzo Lend verloren door de exploit?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Bonzo Lend verloor ongeveer $9,05 miljoen in de oracle-exploit.”}},{“@type”:”Question”,”name”:”Welke acties ondernam Bonzo Lend na de exploit?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Het Bonzo-protocol werd gepauzeerd om verdere verliezen te voorkomen, en zowel Bonzo Labs als de Bonzo Finance Foundation coördineren herstel- en remediatie-inspanningen.”}},{“@type”:”Question”,”name”:”Hoe profiteerde de aanvaller van de oracle-exploit?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”De aanvaller stortte 250 SAUCE-tokens met lage waarde en diende een gemanipuleerde prijsupdate in die hun waarde opblies, en gebruikte dat kunstmatig opgeblazen onderpand vervolgens om activa te lenen die de werkelijke waarde van hun storting ruimschoots overtroffen.”}}]}

Artikel geproduceerd met behulp van kunstmatige intelligentie en beoordeeld door de redactie.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST