
Протокол криптокредитования Bonzo Lend, созданный на базе блокчейна Hedera, потерял около $9,05 млн. В субботу, 11 июля, злоумышленник провел манипуляции с ценой токена SAUCE, используемого в качестве залога.
Согласно отчету об инциденте, опубликованному Bonzo Finance Labs, хакер использовал уязвимость в механизме ценообразования, искусственно завысив цену токена SAUCE в стороннем оракульном контракте Supra. Злоумышленник внес 250 SAUCE стоимостью всего несколько долларов и смог заимствовать у Bonzo 6,63 млн стейблкоинов USDC, а также более 34,5 млн обернутых HBAR (WHBAR) на $2,4 млн.
Инцидент произошел в процессе проверки подписи Supra. Обновление содержало нулевую вместо действительной, и верификатор оракула одобрил доказательство без действительной подписи, которую должен был отклонить.
Команда протокола объявила, что уже внедрила патч в затронутый контракт верификатора в основной сети Hedera.
Протокол Bonzo приостановил работу сервиса кредитования Bonzo Lend и начисление баллов Bonzo Points. Разработчики уверяют, что атака не повлияла на хранилище Bonzo Vaults и мост Bonzo Bridge, а также на стейкинг BONZO, поэтому сервисы продолжают функционировать. Организации Bonzo Finance Labs и Bonzo Finance Foundation работают над возвратом украденных активов, устранением уязвимости и разработкой плана вывода средств для поставщиков ликвидности. Разработчики пока не сообщили дату возобновления работы кредитного пула.
Команда Bonzo сообщила, что с ней в Discord связался один из хакеров. Он занял $1 млн, когда цена SAUCE еще оставалась аномальной. Человек назвал себя «белым хакером» и заявил о намерении вернуть украденные активы, поэтому разработчики пока что исключили их из суммы убытков. Переговоры о возврате средств продолжаются.
За неделю курс HBAR упал на 9,39%, до $0,06769, при рыночной капитализации криптовалюты $2,96 млрд. Суточный объем торгов HBAR сократился на 51,29%, до $39,2 млн.
В начале месяца хакеры взломали децентрализованный протокол Edel Finance и вывели около $403 000. Через неделю после этого инцидента неизвестные вывели из протокола Summer Finance около $6 млн, применив атаку мгновенного займа.







