cryptoslate#Hedera#DeFi#هک#اوراکل#Bonzo
هک ۹ میلیون دلاری پروتکل Bonzo Lend هدرا با سوءاستفاده از امضای اوراکل
۲۲ تیر ۱۴۰۵
هک ۹ میلیون دلاری Bonzo Lend در بلاکچین Hedera با سوءاستفاده از امضای صفر اوراکل؛ آسیبپذیری امنیتی دیفای
پروتکل وامدهی غیرمتمرکز Bonzo Lend در بلاکچین Hedera هدف یک حمله پیچیده قرار گرفت و مهاجم موفق شد حدود ۹ میلیون دلار از داراییهای قفلشده در پروتکل را خارج کند. نقطه ضعف اصلی در نحوه پیادهسازی اوراکل قیمتگذاری پروتکل بود؛ مهاجم با ارسال یک امضای صفر (zeroed signature) به جای امضای معتبر، توانست مکانیزم تأیید اعتبار قیمت را دور بزند.
اوراکلها در پروتکلهای دیفای نقش حیاتی دارند و قیمت داراییهای وثیقهگذاشتهشده را برای تعیین ارزش وامها و موقعیتهای لیکوئید تأمین میکنند. در این حمله، خطای برنامهنویسی باعث شده بود که سیستم امضاهای نامعتبر (صفر) را نیز به عنوان امضای صحیح بپذیرد. مهاجم با بهرهگیری از این آسیبپذیری، دادههای قیمتی دستکاریشده را به پروتکل تزریق کرد و توانست داراییهایی فراتر از ارزش واقعی وثیقه خود وام بگیرد، سپس با خروج از پروتکل، کل مبلغ را سرقت کرد.
بلاکچین Hedera که به عنوان زیرساخت این پروتکل عمل میکند، یک شبکه لایه اول مبتنی بر فناوری Hashgraph است و به دلیل کارمزدهای پایین و سرعت بالای تراکنشها در بخش DeFi رشد قابل توجهی داشته است. این حادثه اما ضربه جدی به اعتماد کاربران به اکوسیستم دیفای هدرا وارد کرد.
تیم Bonzo Finance پس از کشف حمله، قراردادهای هوشمند را متوقف کرد و در حال بررسی مکانیزم جبران خسارت برای کاربران آسیبدیده است. این حادثه بار دیگر اهمیت حسابرسیهای امنیتی دقیق (audit) برای قراردادهای هوشمند، بهویژه در بخش اوراکلهای قیمتی را نمایان ساخت.
از منظر تریدرها، این نوع هکها معمولاً فشار فروش روی توکن بومی پروتکل و کل اکوسیستم مربوطه ایجاد میکنند. کاربرانی که دارایی در Bonzo Lend داشتند باید وضعیت حساب خود را رصد کنند و منتظر اطلاعیههای رسمی تیم در مورد بازگشت احتمالی وجوه باشند.