Protokol DeFi Bonzo Lend Rugi US$9,05 Juta Akibat Celah ZeroSignature
Ringkasan Pasar AI
Protokol pinjaman berbasis Hedera, Bonzo Lend, dieksploitasi sekitar $9,05M setelah sebuah verifikator oracle menerima bukti dengan nol tanda tangan/kunci publik, yang memungkinkan manipulasi harga ekstrem dan peminjaman dengan jaminan yang tidak memadai. Penarikan dan poin tetap ditangguhkan sementara ketentuan pemulihan dan pembukaan kembali ditetapkan, sehingga membatasi penyedia likuiditas. Insiden ini menyoroti risiko kasus tepi validator dalam infrastruktur oracle DeFi dan dapat menekan sentimen terhadap DeFi yang berdekatan dengan Hedera serta integrasi oracle.
Level dampak
● Sedang
Aset terdampak
HBAR/USDT-1.19%
Wawasan AI · HBAR/USDTWawasan AI
▼ Bearish
Trade sekarang
⚠️ Wawasan yang dihasilkan AI didasarkan pada konten berita dan disediakan untuk tujuan informasi saja. Wawasan ini bukan nasihat investasi dan tidak mencerminkan pandangan BingX. Investasi melibatkan risiko. Harap trade secara bertanggung jawab.
Bonzo Lend, protokol pinjam-meminjam berbasis Hedera, menghentikan penarikan dana setelah validator oracle menerima pembuktian yang berisi tanda tangan dan kunci publik bernilai nol. Celah "zerosignature" ini memungkinkan sebuah dompet meminjam US$9,05 juta hanya dengan jaminan 250 SAUCE.
Per 13 Juli, layanan Bonzo Lend dan Bonzo Points masih disuspensi. Halaman status resmi menyebut Bonzo Lend serta seluruh pasar aset terdampak berada dalam mode pemeliharaan. Selama Bonzo Finance Labs dan Bonzo Finance Foundation menyusun jalur pemulihan dan syarat pembukaan kembali, penyedia likuiditas belum dapat melakukan penarikan.
Kronologi serangan bermula ketika Dompet A menyetor 250 SAUCE yang nilainya hanya beberapa dolar. Pada 00:51 UTC, dompet tersebut mengirim pembaruan harga SAUCE/wHBAR yang menggelembungkan nilai token sekitar 12 orde magnitudo, meski harga pasar tetap berada di kisaran 0,2 HBAR. Delapan detik setelah harga yang dimanipulasi tersimpan di oracle on-chain, dompet itu meminjam 6,63 juta USDC. Setelahnya, dompet tersebut juga meminjamkan 34,5 juta wrapped HBAR, sehingga total pokok dana yang ditarik Dompet A mencapai sekitar US$9,05 juta berdasarkan harga referensi Bonzo.
Inti masalahnya ada pada proses verifikasi. Pembaruan yang diajukan tidak membawa tanda tangan oracle yang valid: field tanda tangan berisi [0, 0], sementara kunci publik komite yang dirujuk juga nol, yang dalam kriptografi dikenal sebagai "point at infinity". Validator Supra mengirim input ini ke kontrak precompiled pasangan (pairing) di Hedera. Karena kedua titik tersebut merupakan identitas matematis, persamaan pairing secara desain mengembalikan nilai benar. Validator lalu menganggap hasil tersebut sebagai bukti adanya tanda tangan komite karena tidak lebih dulu menolak nilai nol, identitas, atau input di luar subgrup. Dengan kata lain, jaringan menghitung persamaan sesuai input, tetapi validator keliru menafsirkan hasilnya sebagai otorisasi.
Bonzo menyatakan kontrak peminjamannya kemudian mengeksekusi aturan rasio loan-to-value sesuai pemrograman dengan menggunakan harga yang tersimpan di oracle. Saat harga abnormal masih berlaku, Dompet B turut meminjam sekitar US$1 juta. Dompet ini menghubungi Bonzo, mengaku sebagai whitehat responder, dan menyatakan berniat mengembalikan dana. Bonzo memperkirakan sekitar US$1 juta telah dipulihkan, meski dana tersebut belum dikembalikan dan jumlah final masih belum pasti.
Bonzo melaporkan validator Supra telah diperbaiki, tetapi pool pinjaman tetap ditutup. Poin yang masih menjadi perhatian mencakup: apakah pengujian regresi memastikan validator menolak input identitas, apakah Bonzo akan menambahkan pemeriksaan deviasi harga atau memperketat parameter jaminan, serta bagaimana penanganan aset yang tersedia dalam proses pemulihan penarikan.
Hingga 13 Juli, halaman status resmi Bonzo masih menandai insiden ini belum terselesaikan. Pembaruan resmi terbaru, dipublikasikan pada 11 Juli, menyebut protokol masih disuspensi. Bonzo belum mengumumkan kompensasi, tanggal pembukaan kembali, maupun ketentuan penarikan bagi pengguna, sehingga penyedia likuiditas masih menunggu rencana pemulihan yang akan diumumkan.