Bonzo Lend chiffre à 9 M$ ses pertes après une exploitation d'oracle sur Hedera
Résumé du marché par IA
La perte d'environ 9 M$ de Bonzo Lend sur Hedera met en lumière le risque persistant lié aux oracles DeFi et à la vérification des prix, après qu'une mise à jour SAUCE manipulée a permis un emprunt démesuré d'USDC et de HBAR wrappé. Bien que Bonzo affirme que ses contrats et le cœur de Hedera n'étaient pas en cause, l'incident renforce à quel point les défaillances de vérificateurs d'oracles tiers peuvent rapidement dégrader la solvabilité et la confiance dans les pools de prêt. Dans un contexte plus large de fréquence élevée des exploits, cela pourrait accentuer l'aversion au risque à court terme au sein de la DeFi.
Niveau d'impact
● Moyen
Actifs concernés
BTC/USDT+0.21%
Infos de l'IA · BTC/USDTInfos de l'IA
▼ Baissier
Trader maintenant
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
Bonzo Lend, protocole de prêt bâti sur Hedera, indique avoir subi un impact économique estimé à environ 9 millions de dollars après une attaque visant le mécanisme de valorisation des garanties. L'agresseur a manipulé le prix du jeton SAUCE transmis via un flux d'oracle, ce qui lui a permis d'emprunter dans le pool de liquidité des montants très supérieurs à la valeur réelle de la garantie déposée.
Dans un rapport préliminaire publié samedi, Bonzo explique que l'attaquant a d'abord déposé 250 SAUCE, un montant qui ne vaudrait que quelques dollars selon la valorisation normale du protocole. Il a ensuite soumis une mise à jour de prix gonflant la valeur rapportée de SAUCE d'environ 12 ordres de grandeur. Avec ce prix artificiellement élevé, le portefeuille a emprunté 6,63 millions d'USDC et 34,5 millions de wrapped HBAR.
Bonzo attribue l'incident à une défaillance du "verifier" d'oracle on-chain de Supra. Selon le protocole, ce composant a accepté une mise à jour de prix SAUCE falsifiée portant une signature mise à zéro, permettant la mise à jour du feed sans validation cryptographique adéquate. Bonzo précise que Supra a reconnu le problème et déployé un correctif.
Le protocole insiste sur un point: l'attaque ne proviendrait pas d'une faille dans les contrats de Bonzo Lend et ne serait pas liée au réseau de base d'Hedera. Pour les utilisateurs comme pour les intégrateurs, cette distinction met en évidence un risque récurrent de la DeFi: même si la logique de prêt et le consensus du réseau tiennent, un composant tiers d'oracle ou sa couche de vérification peut ouvrir une brèche critique.
L'épisode s'inscrit dans un contexte de pression accrue sur la sécurité DeFi. Cointelegraph a rapporté que le deuxième trimestre a été le plus touché par le nombre d'incidents recensés, avec 83 exploits et environ 755 millions de dollars dérobés. Dans cette ventilation, les attaques sur des ponts cross-chain ont représenté 351 millions de dollars, tandis que les compromissions d'administrateurs et les manipulations de prix de faux jetons ont compté pour 37% des pertes trimestrielles.
Les données d'écosystème signalent aussi des tensions: selon Cointelegraph, la valeur totale verrouillée (TVL) de la DeFi a reculé de 39% pour dépasser légèrement 70 milliards de dollars en juin, contre environ 115 milliards en janvier. CryptoRank recense 121 piratages et environ 942 millions de dollars de pertes sur la période, suggérant que la répétition des incidents a pesé sur la confiance et contribué à des sorties de capitaux.
La manipulation de prix via oracle suit un schéma bien connu: l'attaquant vise le mécanisme qui fonde le modèle de risque du protocole. Quand l'hypothèse de prix se brise, les paramètres de collatéralisation et les garde-fous de liquidation peuvent ne plus protéger les fournisseurs de liquidité.
Bonzo rapproche implicitement l'incident d'un cas similaire sur Stellar. En février, des attaquants ont drainé environ 10 millions de dollars d'un pool de prêt géré par la DAO YieldBlox après avoir manipulé la trajectoire de prix utilisée pour valoriser la garantie USTRY, ce qui a permis des emprunts au-delà de la valeur réelle du collatéral.
Selon Bonzo, les travaux immédiats se concentrent sur la couche de vérification de l'oracle, après le correctif annoncé par Supra. Les acteurs du marché surveilleront si cette correction empêche des contournements similaires liés aux signatures ou à la validation des feeds de prix dans d'autres intégrations, et si l'incident entraîne des audits supplémentaires ou des changements de fournisseur d'oracle.
Cet article a été publié à l'origine sous le titre "Bonzo Lend Reports $9M Loss After Oracle Exploit on Hedera" sur Crypto Breaking News.