Bonzo Lend (DeFi) perd 9,05 M$ après une faille "ZeroSignature"
Résumé du marché par IA
Le protocole de prêt Bonzo Lend basé sur Hedera a été exploité pour environ 9,05 M$, après qu'un vérificateur d'oracle a accepté une preuve avec zéro signature/clé publique, permettant une manipulation extrême des prix et des emprunts insuffisamment garantis. Les retraits et les points restent suspendus pendant que les modalités de récupération et de réouverture sont déterminées, ce qui contraint les fournisseurs de liquidité. L'incident met en évidence le risque lié aux cas limites des validateurs dans l'infrastructure d'oracles DeFi et peut peser sur le sentiment à l'égard de la DeFi adjacente à Hedera et des intégrations d'oracles.
Niveau d'impact
● Moyen
Actifs concernés
HBAR/USDT-1.05%
Infos de l'IA · HBAR/USDTInfos de l'IA
▼ Baissier
Trader maintenant
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
Le protocole de prêt Bonzo Lend, opéré sur Hedera, a suspendu les retraits après l'exploitation d'une vulnérabilité dite "ZeroSignature" au niveau des vérificateurs d'oracle. L'incident a permis à un portefeuille d'emprunter l'équivalent de 9,05 millions de dollars en ne déposant que 250 SAUCE en garantie, soit quelques dollars.
Selon les éléments disponibles, l'attaque repose sur un angle mort de vérification mathématique dans l'infrastructure oracle : un validateur a accepté une "preuve" ne contenant ni signatures valides ni clés publiques valides. Le champ de signature soumis était [0, 0] et la clé publique du comité référencée était également nulle (le "point à l'infini" en cryptographie). Les validateurs de Supra ont transmis ces entrées au contrat précompilé d'appairage sur Hedera. Comme ces points correspondent à des identités mathématiques, l'équation d'appairage retourne "true" par construction. Le validateur a interprété ce résultat comme une autorisation du comité, faute de rejeter au préalable les valeurs nulles, les identités ou les entrées hors sous-groupe.
Chronologie : après un dépôt initial de 250 SAUCE, le portefeuille A a, à 00:51 UTC, publié une mise à jour de prix SAUCE/wHBAR gonflant la valorisation du token d'environ 12 ordres de grandeur, alors que le prix de marché restait proche de 0,2 HBAR. Huit secondes après l'enregistrement on-chain du prix manipulé, le portefeuille a emprunté 6,63 millions d'USDC. Il a ensuite prêté 34,5 millions de wrapped HBAR, portant le montant total retiré à environ 9,05 millions de dollars sur la base du prix de référence de Bonzo.
Bonzo indique que son contrat de prêt a ensuite appliqué mécaniquement ses règles de ratio loan-to-value (LTV) à partir des prix stockés par l'oracle. Un second portefeuille (portefeuille B) a emprunté environ 1 million de dollars pendant que le prix anormal était encore en vigueur. Ce portefeuille a contacté Bonzo en se présentant comme un intervenant "whitehat" et a déclaré son intention de restituer les fonds. Bonzo estime qu'environ 1 million de dollars a été récupéré, mais précise que les fonds n'ont pas encore été rendus et que le montant final reste incertain.
Au 13 juillet, Bonzo Lend et Bonzo Points restent suspendus ; la page de statut officielle indique que Bonzo Lend et les marchés d'actifs affectés sont en maintenance. Pendant que Bonzo Finance Labs et la Bonzo Finance Foundation évaluent la trajectoire de reprise et les conditions de réouverture, les fournisseurs de liquidité ne peuvent toujours pas retirer leurs fonds.
Bonzo affirme que Supra a corrigé le validateur, mais le pool de prêt demeure fermé. Les questions en suspens portent notamment sur la validation, via tests de non-régression, du rejet des entrées d'identité par les validateurs, l'ajout éventuel de contrôles d'écart de prix ou un durcissement des paramètres de collatéral, ainsi que le traitement des actifs disponibles lors de la remise en état des retraits. Au 13 juillet, l'incident est toujours classé comme non résolu sur la page de statut. La dernière mise à jour officielle, publiée le 11 juillet, confirme que le protocole reste suspendu. Aucune annonce n'a encore été faite sur une compensation, une date de réouverture ou des modalités de retrait, laissant les fournisseurs de liquidité dépendre du plan de reprise à venir.