پروتکل وامدهی غیرمتمرکز «بونزو» (Bonzo Lend) که بر بستر شبکه هدرا فعالیت میکند، در پی یک رخنه امنیتی در قرارداد هوشمند اوراکل شخص ثالث، دچار خسارتی بالغ بر ۹ میلیون دلار شد. این حادثه که بازتاب گستردهای در فضای دیفای (DeFi) داشته، منجر به سقوط قابلتوجه ارزش کل داراییهای قفلشده (TVL) در این پروتکل شده است.
جزئیات فنی حمله؛ سوءاستفاده از خلاء قیمتگذاری
بر اساس گزارشهای اولیه منتشر شده توسط تیم بونزو، مهاجم با استفاده از یک نقطه ضعف در قراردادهای «سوپرا اوراکل» (Supra Oracle)، موفق به دستکاری قیمت داراییها شد. استراتژی هکر بدین صورت بود که ابتدا مقدار اندکی از توکنهای SAUCE را در پلتفرم سپردهگذاری کرد و سپس با ارسال یک بهروزرسانی قیمت جعلی، ارزش این توکنها را به شکل غیرواقعی در سیستم افزایش داد. این اقدام به او اجازه داد تا داراییهایی بسیار فراتر از ارزش وثیقه واقعی خود وام بگیرد.
میزان خسارت و واکنش شبکه
مهاجم در جریان این عملیات مخرب، موفق به برداشت ۶.۶۳ میلیون دلار USDC و بیش از ۳۴ میلیون توکن HBAR شد که مجموع ارزش آنها در لحظه حادثه حدود ۹.۰۵ میلیون دلار برآورد میشود. این رخداد تنها محدود به یک حساب نبود؛ چرا که در پی آشفتگی ایجاد شده در سیستم، یک کیف پول دیگر نیز توانست حدود یک میلیون دلار دارایی اضافی برداشت کند. البته، این کیف پول دوم در ارتباط با تیم فنی، خود را به عنوان یک «هکر کلاه سفید» معرفی کرده و وعده بازگرداندن وجوه را داده است.
تلاطم در اکوسیستم هدرا
تاثیر این حمله بر اکوسیستم هدرا بسیار شدید بوده است. دادههای پلتفرمهای تحلیل داده نشان میدهد که مجموع ارزش کل قفلشده (TVL) در شبکه هدرا طی ۲۴ ساعت پس از این رخنه، نزدیک به ۴۰ درصد کاهش یافته است. در این میان، پروتکل بونزو به تنهایی شاهد خروج یا از دست رفتن ۷۷ درصد از داراییهای تحت مدیریت خود بوده که ضربهای مهلک به اعتماد کاربران و نقدینگی این پروتکل وارد کرده است. این حادثه بار دیگر اهمیت حیاتی دقت در انتخاب ارائهدهندگان اوراکل و امنیت قراردادهای هوشمند در پروژههای مالی غیرمتمرکز را یادآور شد.
