StartZ - Banner Home deuBonzo-Lending-Exploit vernichtet 9 Mio. $ – Hedera verliert 40 % TVL in...

Bonzo-Lending-Exploit vernichtet 9 Mio. $ – Hedera verliert 40 % TVL in 24 Stunden

Ein Fehler in einem Preis-Oracle hat Hedera’s größtes Lending-Protokoll gerade mehr als 9 Millionen US-Dollar gekostet – und er versteckte sich die ganze Zeit in einem Signaturprüfungsvertrag. Der Bonzo-Lending-Exploit hat Schockwellen durch das Hedera-DeFi-Ökosystem geschickt, einen erheblichen Teil des Total Value Locked des Netzwerks ausgelöscht und unangenehme Fragen darüber aufgeworfen, wie dezentrale Protokolle die externen Datenfeeds prüfen, von denen sie abhängen.

Wichtigste Erkenntnisse

  • Bonzo Lend verlor ungefähr 9,05 Millionen US-Dollar, nachdem ein Angreifer eine Schwachstelle in einem Drittanbieter-Supra-Oracle-Vertrag auf Hedera ausnutzte.
  • Der Angreifer manipulierte die SAUCE-Token-Preise, indem er ein betrügerisches Preis-Update einreichte und anschließend Vermögenswerte auslieh, die den Wert seiner hinterlegten Sicherheiten bei Weitem überstiegen.
  • Hedera’s Total Value Locked fiel innerhalb von 24 Stunden um fast 40 %, während Bonzos eigener TVL um 77 % einbrach.
  • Das Bonzo-Protokoll wurde nach dem Exploit pausiert, um weitere Verluste zu verhindern.
  • Bonzo Labs und die Bonzo Finance Foundation koordinieren aktiv Wiederherstellungs- und Abhilfemaßnahmen.

Oracle-Exploit führt zu einem Verlust von 9,05 Millionen US-Dollar für Bonzo Lend

Bonzo Lend, ein dezentrales Lending-Protokoll, das im Hedera-Netzwerk betrieben wird, meldete einen Verlust von ungefähr 9,05 Millionen US-Dollar, nachdem ein Angreifer eine kritische Schwachstelle in einem Drittanbieter-Supra-Oracle-Vertrag gefunden und ausgenutzt hatte. Der Angriff war kein Brute-Force-Einbruch – es war eine präzise Manipulation der Preisdaten, auf die sich Bonzos Lending-Logik zur Bewertung von Sicherheiten stützte.

Den bekannt gewordenen Details zufolge hinterlegte der Angreifer 250 SAUCE-Token – Vermögenswerte mit relativ geringem Wert – und reichte dann ein manipuliertes Preis-Update ein, das den in HBAR denominierten Wert dieser Token dramatisch aufblähte. Mit künstlich erhöhten Sicherheiten in den Büchern fuhr der Angreifer fort, Vermögenswerte auszuleihen, die den tatsächlichen Wert seiner Einlage bei Weitem überstiegen. Als die Manipulation entdeckt wurde, war der Schaden bereits angerichtet.

Die finanziellen Folgen reichten weit über Bonzo selbst hinaus. Hedera’s Total Value Locked fiel innerhalb von 24 Stunden nach dem Bekanntwerden des Exploits um fast 40 %. Bonzos eigener TVL erlitt einen noch stärkeren Schlag und fiel um 77 % – eine Zahl, die verdeutlicht, wie stark eine einzelne Oracle-Schwachstelle die gesamte Einlegerbasis eines Protokolls gefährden kann.

Warum Oracle-Angriffe für Lending-Protokolle so verheerend sind

Preis-Oracles stehen im Zentrum jeder dezentralen Lending-Plattform. Sie teilen dem Protokoll mit, was ein bestimmter Vermögenswert wert ist, was wiederum bestimmt, wie viel ein Kreditnehmer gegen seine Sicherheiten aufnehmen kann. Wenn dieser Preisfeed – auch nur kurzzeitig – verfälscht wird, bricht der gesamte Sicherheitsmechanismus zusammen. Der Angreifer in diesem Fall musste Bonzos eigenen Code nicht knacken. Er musste ihm nur falsche Daten zuführen, und die Logik des Protokolls erledigte den Rest.

Genau das macht Oracle-Exploits besonders schwer abzuwehren. Die Schwachstelle lag nicht in Bonzos eigenen Smart Contracts, sondern im Signaturprüfungsprozess des Supra-Oracles – einer Drittanbieter-Abhängigkeit, der Bonzos Lending-Mechanismus implizit vertraute. Für Nutzer, die Gelder in das Protokoll eingezahlt hatten, erwies sich dieses Vertrauen als das schwächste Glied.

Technische Ursache: Fehler in Supras Signaturprüfung

Die eigentliche Ursache des Angriffs lässt sich auf einen Fehler in der Art und Weise zurückführen, wie Supras Oracle-Vertrag Preis-Update-Signaturen verifizierte. Die Signaturprüfung ist der Mechanismus, der sicherstellen soll, dass ein Preis-Update authentisch ist, bevor das Protokoll es akzeptiert und darauf reagiert. Wenn diese Prüfung fehlschlägt oder umgangen werden kann, erhält ein Angreifer die Möglichkeit, beliebige Preisdaten in ein Protokoll einzuspeisen, das keinen Grund hat, daran zu zweifeln.

Wie der Fehler in der Signaturprüfung den Angriff ermöglichte

In diesem Fall erlaubte der Fehler dem Angreifer, ein manipuliertes Preis-Update für SAUCE-Token einzureichen, ohne dass der Verifizierungsprozess es erkannte. Sobald der falsche Preis akzeptiert war, wurden die geringwertigen Sicherheiten des Angreifers so behandelt, als wären sie deutlich mehr wert. Der Borrowing-Mechanismus ermöglichte daraufhin Asset-Abhebungen, die durch die tatsächlichen Sicherheiten niemals hätten gedeckt werden können.

Die Eleganz – wenn man es so nennen will – des Angriffs lag in seiner Einfachheit. Es war kein ausgefeilter Exploit auf Vertragsebene erforderlich. Der Angreifer musste lediglich die Schwäche in der Signaturprüfung des Oracles verstehen und eine Transaktion konstruieren, die sie ausnutzte. Eine solche Schwachstelle, eingebettet in eine Infrastrukturschicht, auf die viele Protokolle angewiesen sind, hat Auswirkungen, die weit über Bonzo allein hinausgehen.

Reaktion des Bonzo-Protokolls und Koordination der Wiederherstellung

Protokollaussetzung zur Verhinderung weiterer Verluste

Unmittelbar nach dem Exploit wurde das Bonzo-Protokoll pausiert. Das Anhalten des Betriebs ist eine gängige Notfallmaßnahme in DeFi – es stoppt die Blutung, indem es weitere Kreditaufnahmen, Abhebungen oder Interaktionen verhindert, die die Verluste vergrößern könnten, während das Team ermittelt. Für Nutzer mit weiterhin im Protokoll befindlichen Geldern bedeutet die Pause, dass ihre Vermögenswerte eingefroren sind, bis die Wiederherstellungsbemühungen einen klareren Weg nach vorn aufzeigen.

Koordination zwischen Bonzo Labs und Bonzo Finance Foundation

Sowohl Bonzo Labs als auch die Bonzo Finance Foundation haben bestätigt, dass sie aktiv an der Wiederherstellung und an Abhilfemaßnahmen arbeiten. Die Reaktion durch beide Einheiten signalisiert, dass sowohl das technische Team als auch die breitere Governance-Struktur des Projekts eingebunden sind, was relevant sein kann, wenn Entscheidungen darüber getroffen werden, wie – und ob – betroffene Nutzer vollständig entschädigt werden können.

Wie diese Wiederherstellung in der Praxis aussieht, bleibt eine offene Frage. Das Ausmaß des Verlusts – 9,05 Millionen US-Dollar im Vergleich zu einem offenbar deutlich reduzierten TVL – bringt das Protokoll in eine strukturell schwierige Lage. Die Wiederherstellung nach DeFi-Exploits dieser Größenordnung umfasst typischerweise eine Kombination aus internen Treasury-Mitteln, Verhandlungen mit Dritten oder Entschädigungsplänen, deren Ausarbeitung Wochen oder Monate dauern kann. In welchem Maße Bonzo das Vertrauen der Nutzer wiederherstellen kann, hängt stark von der Transparenz und Geschwindigkeit dieses Prozesses ab.

Für das breitere Hedera-DeFi-Ökosystem ist der Vorfall eine deutliche Erinnerung daran, dass Oracle-Sicherheit kein Randthema ist – sie ist grundlegende Infrastruktur. Ein einziger kompromittierter Preisfeed in einem einzigen Drittanbieter-Vertrag reichte aus, um Hedera’s größtes Lending-Protokoll zu leeren und das Vertrauen im gesamten Netzwerk innerhalb weniger Stunden zu erschüttern.

FAQ

Was verursachte den Bonzo-Lend-Protokoll-Exploit?

Ein Fehler in der Signaturprüfung des Supra-Oracle-Vertrags ermöglichte es Angreifern, SAUCE-Token-Preise zu manipulieren und betrügerische Preisdaten in das Bonzo-Lending-Protokoll einzuspeisen.

Wie viel hat Bonzo Lend durch den Exploit verloren?

Bonzo Lend verlor durch den Oracle-Exploit ungefähr 9,05 Millionen US-Dollar.

Welche Maßnahmen ergriff Bonzo Lend nach dem Exploit?

Das Bonzo-Protokoll wurde pausiert, um weitere Verluste zu verhindern, und sowohl Bonzo Labs als auch die Bonzo Finance Foundation koordinieren Wiederherstellungs- und Abhilfemaßnahmen.

Wie profitierte der Angreifer von dem Oracle-Exploit?

Der Angreifer hinterlegte 250 geringwertige SAUCE-Token und reichte ein manipuliertes Preis-Update ein, das ihren Wert aufblähte. Anschließend nutzte er diese künstlich aufgeblähten Sicherheiten, um Vermögenswerte auszuleihen, die den tatsächlichen Wert seiner Einlage bei Weitem überstiegen.

{„@context“:“https://schema.org“,“@type“:“FAQPage“,“mainEntity“:[{„@type“:“Question“,“name“:“Was verursachte den Bonzo-Lend-Protokoll-Exploit?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Ein Fehler in der Signaturprüfung des Supra-Oracle-Vertrags ermöglichte es Angreifern, SAUCE-Token-Preise zu manipulieren und betrügerische Preisdaten in das Bonzo-Lending-Protokoll einzuspeisen.“}},{„@type“:“Question“,“name“:“Wie viel hat Bonzo Lend durch den Exploit verloren?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Bonzo Lend verlor durch den Oracle-Exploit ungefähr 9,05 Millionen US-Dollar.“}},{„@type“:“Question“,“name“:“Welche Maßnahmen ergriff Bonzo Lend nach dem Exploit?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Das Bonzo-Protokoll wurde pausiert, um weitere Verluste zu verhindern, und sowohl Bonzo Labs als auch die Bonzo Finance Foundation koordinieren Wiederherstellungs- und Abhilfemaßnahmen.“}},{„@type“:“Question“,“name“:“Wie profitierte der Angreifer von dem Oracle-Exploit?“,“acceptedAnswer“:{„@type“:“Answer“,“text“:“Der Angreifer hinterlegte 250 geringwertige SAUCE-Token und reichte ein manipuliertes Preis-Update ein, das ihren Wert aufblähte. Anschließend nutzte er diese künstlich aufgeblähten Sicherheiten, um Vermögenswerte auszuleihen, die den tatsächlichen Wert seiner Einlage bei Weitem überstiegen.“}}]}

Artikel mit Unterstützung künstlicher Intelligenz erstellt und von der Redaktion überprüft.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST