Community Trust ScoreProbablement Réel
Un trou de 9 millions de dollars. C’est ce qui reste après qu’un attaquant a trouvé une faille dans le vérificateur d’oracle de Supra et l’a exploitée pour vider Bonzo Lend, une plateforme de prêt décentralisée fonctionnant sur la blockchain Hedera. Tout s’est joué sur un chiffre manipulé — le prix du collatéral du jeton SAUCE — et la plateforme n’avait pratiquement aucune réponse à cela.
L’attaquant a gonflé la valeur déclarée de SAUCE, un jeton accepté comme collatéral sur Bonzo Lend, en exploitant une faille dans le contrat de vérification de l’oracle de Supra. Avec ce chiffre gonflé enregistré sur la blockchain et traité comme légitime, l’attaquant est intervenu, a déposé le SAUCE surévalué comme collatéral et a retiré 9 millions de dollars d’actifs. Propre, rapide et pratiquement invisible jusqu’à ce que les dégâts soient faits. Aucune alarme ne s’est déclenchée. Aucun disjoncteur ne s’est activé. L’oracle a déclaré que le collatéral valait plus qu’il ne valait, le protocole l’a cru, et c’était tout.
Comment la faille de l’oracle a ouvert la porte
Les systèmes d’oracle sont la plomberie que personne ne voit jusqu’à ce qu’elle éclate. Ils récupèrent des données de prix externes — ou, dans les cas de données sur la blockchain, les vérifient — et alimentent ces données dans des contrats intelligents qui régissent les seuils de prêt, d’emprunt et de liquidation. Si le chiffre entrant est erroné, tout ce qui suit l’est aussi. Les plateformes DeFi sur plusieurs blockchains ont appris cette leçon à la dure ces dernières années, et Bonzo Lend est maintenant sur cette liste.
La faille spécifique ici se trouvait à l’intérieur du vérificateur d’oracle sur la blockchain de Supra. Pas un flux de prix d’une source centralisée, mais la logique de vérification réelle censée confirmer si un prix déclaré est valide. L’attaquant a trouvé un moyen de manipuler cette logique, de faire passer une évaluation gonflée de SAUCE, et de faire en sorte que le protocole de prêt la traite comme un évangile. Le collatéral semblait sain. Le prêt semblait légitime. Et 9 millions de dollars ont disparu.
Il est important de préciser ce que ce type d’attaque nécessite. Ce n’est pas une attaque par force brute. Ce n’est pas une fuite de clé privée. C’est une manipulation technique précise du processus de vérification lui-même — le genre de chose qui nécessite une véritable connaissance du fonctionnement du système au niveau du contrat. Celui qui a fait cela savait exactement où se trouvait le point faible.
Bonzo Lend reste silencieux après l’attaque
Ce qui est peut-être plus alarmant que l’exploit lui-même, c’est ce qui est venu après. Rien, vraiment. Bonzo Lend n’a pas publié de déclaration publique détaillée. Il n’y a pas de feuille de route pour indemniser les utilisateurs affectés. Pas de mot sur la suspension, la correction ou le remplacement de l’intégration de l’oracle. Aucune société de sécurité indépendante n’a été nommée comme ayant été sollicitée. Juste le silence, ce qui est probablement la pire chose qu’une plateforme DeFi puisse offrir après une perte de neuf chiffres.
Les utilisateurs présents sur la plateforme ne savent pas si la vulnérabilité est toujours active. Les fournisseurs de liquidité ne savent pas si leurs fonds sont en danger. Et l’écosystème DeFi plus large d’Hedera reste à regarder, attendant de voir si cela se propage ou reste contenu. Cette incertitude est corrosive. Elle est plus difficile à surmonter que la perte financière elle-même, à certains égards.
L’absence de communication rend également impossible de savoir si Bonzo Lend dispose des ressources ou de la capacité technique pour indemniser les utilisateurs affectés. 9 millions de dollars est un chiffre sérieux pour un protocole de prêt DeFi de taille moyenne. Qu’il y ait un trésor, un fonds d’assurance, ou un quelconque filet de sécurité — c’est flou.
Le problème des oracles dans la DeFi ne disparaît pas
Les exploits d’oracle ne sont pas nouveaux. Ils ont touché des protocoles sur Ethereum, BNB Chain, Avalanche, et maintenant Hedera. Le vecteur d’attaque est bien documenté. Les chercheurs en sécurité en ont abondamment parlé. Et pourtant, les plateformes continuent d’être prises au piège avec des intégrations d’oracle qui n’ont pas été testées contre la manipulation au niveau du vérificateur, pas seulement au niveau du flux de prix.
L’incident de Bonzo Lend pousse probablement d’autres protocoles basés sur Hedera à examiner de près leurs propres intégrations Supra. Et cela pousse probablement Supra à agir rapidement sur un correctif ou un post-mortem — bien qu’à ce jour, aucune analyse technique publique n’ait été publiée de ce côté non plus.
Ce qui reste, c’est une perte de 9 millions de dollars, une plateforme qui est devenue silencieuse, et beaucoup de questions ouvertes. L’écosystème DeFi d’Hedera est plus petit que celui d’Ethereum, mais il est en croissance, et des incidents comme celui-ci peuvent freiner cette croissance rapidement. La manipulation du collatéral SAUCE de Bonzo Lend n’était pas un coup de chance — c’était une attaque technique ciblée sur une faiblesse spécifique dans un système spécifique.
L’attaquant a exploité une faille dans le vérificateur d’oracle sur la blockchain, a gonflé le collatéral SAUCE, a emprunté 9 millions de dollars, et est parti.
Hub : Prix, actualités, et analyses de BNB
Hub: BNB : prix, actualités et analyse
Questions Fréquentes
Comment l’attaquant a-t-il volé 9 millions de dollars à Bonzo Lend ?
L’attaquant a exploité une vulnérabilité dans le vérificateur d’oracle sur la blockchain de Supra pour gonfler la valeur déclarée du collatéral du jeton SAUCE, puis a utilisé ce collatéral gonflé pour emprunter 9 millions de dollars à Bonzo Lend sur la blockchain Hedera.
Bonzo Lend a-t-il répondu à l’exploit ?
Au moment de la rédaction de cet article, Bonzo Lend n’a pas divulgué publiquement de mesures correctives, de plan de compensation, ou de mise à niveau de sécurité en réponse à la perte de 9 millions de dollars.
