Bir fiyat oracle açığı, Hedera’nın en büyük borç verme protokolüne 9 milyon dolardan fazlaya mal oldu — ve tüm bu süre boyunca imza doğrulama sözleşmesinin içinde saklanıyordu. Bonzo borç verme istismarı, Hedera DeFi ekosisteminde şok etkisi yaratarak ağın kilitli toplam değerinin önemli bir kısmını sildi ve merkezsiz protokollerin bağımlı oldukları harici veri akışlarını nasıl denetlediklerine dair rahatsız edici sorular ortaya çıkardı.
Summary
Öne çıkanlar
- Bonzo Lend, bir saldırganın Hedera üzerindeki üçüncü taraf Supra oracle sözleşmesindeki bir açığı istismar etmesinin ardından yaklaşık 9,05 milyon dolar kaybetti.
- Saldırgan, sahte bir fiyat güncellemesi göndererek SAUCE token fiyatlarını manipüle etti ve ardından yatırdığı teminatın değerini çok aşan varlıklar borç aldı.
- Hedera’nın kilitli toplam değeri 24 saat içinde neredeyse %40 düştü; Bonzo’nun kendi TVL’si ise %77 oranında çöktü.
- Bonzo protokolü, daha fazla kaybı önlemek için istismarın ardından duraklatıldı.
- Bonzo Labs ve Bonzo Finance Foundation, kurtarma ve iyileştirme çabalarını aktif olarak koordine ediyor.
Oracle İstismarı Bonzo Lend İçin 9,05 Milyon Dolarlık Kayıpla Sonuçlandı
Hedera ağında faaliyet gösteren merkezsiz bir borç verme protokolü olan Bonzo Lend, bir saldırganın üçüncü taraf Supra oracle sözleşmesindeki kritik bir açığı bulup istismar etmesinin ardından yaklaşık 9,05 milyon dolar kayıp yaşadığını açıkladı. Saldırı kaba kuvvetle yapılan bir ihlal değildi — Bonzo’nun teminat değerlerini değerlendirmek için güvendiği fiyat verilerinin hassas bir şekilde manipüle edilmesiydi.
Ortaya çıkan ayrıntılara göre saldırgan, görece düşük değere sahip varlıklar olan 250 SAUCE token yatırdı ve ardından bu tokenların HBAR cinsinden değerini dramatik biçimde şişiren manipüle edilmiş bir fiyat güncellemesi gönderdi. Defterlerde yapay olarak yükseltilmiş teminatla, saldırgan gerçek mevduatının değerini çok aşan varlıklar borç almaya devam etti. Manipülasyon tespit edildiğinde hasar çoktan oluşmuştu.
Mali yansımalar Bonzo’nun çok ötesine uzandı. Hedera’nın kilitli toplam değeri, istismarın kamuoyuna yansımasından sonraki 24 saat içinde neredeyse %40 düştü. Bonzo’nun kendi TVL’si ise daha da sert bir darbe alarak %77 oranında geriledi — bu rakam, tek bir oracle açığının tüm bir protokolün mevduat tabanını ne kadar savunmasız bırakabileceğini gözler önüne seriyor.
Neden Oracle Saldırıları Borç Verme Protokolleri İçin Bu Kadar Yıkıcı?
Fiyat oracle’ları her merkezsiz borç verme platformunun kalbinde yer alır. Protokole, belirli bir varlığın ne kadar değerli olduğunu söylerler; bu da bir borçlunun teminatına karşı ne kadar borç alabileceğini belirler. Bu fiyat akışı — anlık bile olsa — bozulduğunda, tüm güvenlik mekanizması çöker. Bu vakada saldırganın Bonzo’nun kendi kodunu kırmasına gerek yoktu. Sadece ona hatalı veri beslemesi yeterliydi ve protokolün mantığı gerisini halletti.
Oracle istismarlarını savunmayı bu kadar zorlaştıran da budur. Açık, Bonzo’nun kendi akıllı sözleşmelerinin içinde değil, Supra oracle’ının imza doğrulama sürecindeydi — Bonzo’nun borç verme mekanizmasının sorgusuz sualsiz güvendiği üçüncü taraf bir bağımlılık. Protokole fon yatıran kullanıcılar için bu güven, en zayıf halka oldu.
Teknik Neden: Supra’nın İmza Doğrulamasındaki Hata
Saldırının temel nedeni, Supra’nın oracle sözleşmesinin fiyat güncelleme imzalarını doğrulama biçimindeki bir hataya dayanıyor. İmza doğrulama, bir fiyat güncellemesinin protokol tarafından kabul edilip işleme alınmadan önce gerçek olduğunu teyit etmesi gereken mekanizmadır. Bu kontrol başarısız olduğunda veya atlatılabildiğinde, bir saldırgan, doğruluğundan şüphe etmeyen bir protokole keyfi fiyat verileri itme yeteneği kazanır.
İmza Doğrulama Açığı Saldırıyı Nasıl Mümkün Kıldı?
Bu vakada açık, saldırganın SAUCE token’ları için yapılan manipüle edilmiş bir fiyat güncellemesini, doğrulama süreci bunu yakalamadan göndermesine izin verdi. Sahte fiyat bir kez kabul edildiğinde, saldırganın düşük değerli teminatı sanki çok daha fazla ediyormuş gibi muamele gördü. Borç verme mekanizması daha sonra, gerçek teminatın asla destekleyemeyeceği varlık çekimlerinin kilidini açtı.
Saldırının — eğer buna zarafet denebilirse — zarafeti sadeliğindeydi. Gelişmiş bir sözleşme düzeyi istismar gerektirmedi. Saldırganın tek yapması gereken oracle’ın imza doğrulama zayıflığını anlamak ve bundan yararlanan bir işlem inşa etmekti. Birçok protokolün güvendiği altyapı katmanının içinde yer alan bu tür bir açık, Bonzo’nun çok ötesine uzanan sonuçlar doğurur.
Bonzo Protokolünün Yanıtı ve Kurtarma Koordinasyonu
Daha Fazla Kaybı Önlemek İçin Protokolün Askıya Alınması
İstismarın hemen ardından Bonzo protokolü duraklatıldı. İşlemleri durdurmak, DeFi’de standart bir acil durum yanıtıdır — ekip soruşturma yürütürken daha fazla borç alma, çekim veya kayıpları artırabilecek etkileşimi engelleyerek kanamayı durdurur. Protokolde hâlâ fonu bulunan kullanıcılar için bu duraklama, kurtarma çabaları daha net bir yol haritası ortaya koyana kadar varlıklarının yerinde donmuş olduğu anlamına gelir.
Bonzo Labs ve Bonzo Finance Foundation Arasındaki Koordinasyon
Hem Bonzo Labs hem de Bonzo Finance Foundation, kurtarma üzerinde aktif olarak çalıştıklarını ve iyileştirme sürecini yürüttüklerini doğruladı. Çift yapılı yanıt, çabanın hem teknik ekibi hem de projenin daha geniş yönetişim yapısını içerdiğini gösteriyor; bu da etkilenen kullanıcıların nasıl — ve olup olmayacağı — telafi edileceğine dair kararlar alınırken önemli olabilir.
Bu kurtarmanın pratikte nasıl görüneceği ise hâlâ açık bir soru. Kayıpların ölçeği — görünüşe göre dramatik biçimde azalmış bir TVL’ye karşı 9,05 milyon dolar — protokolü yapısal olarak zor bir konuma sokuyor. Bu büyüklükteki DeFi istismarlarında kurtarma genellikle dahili hazine fonlarının, üçüncü taraflarla müzakerelerin veya sonuçlandırılması haftalar ya da aylar sürebilen tazmin planlarının bir kombinasyonunu içerir. Bonzo’nun kullanıcı güvenini ne ölçüde yeniden tesis edebileceği, bu sürecin şeffaflığına ve hızına büyük ölçüde bağlı olacaktır.
Daha geniş Hedera DeFi ekosistemi için bu olay, oracle güvenliğinin ikincil bir mesele değil — temel altyapı olduğunu keskin biçimde hatırlatıyor. Tek bir üçüncü taraf sözleşmesindeki tek bir tehlikeye atılmış fiyat akışı, Hedera’nın en büyük borç verme protokolünü boşaltmaya ve tüm ağ genelinde güveni birkaç saat içinde sarsmaya yetti.
SSS
Bonzo Lend protokolü istismarına ne sebep oldu?
Supra oracle sözleşmesinin imza doğrulamasındaki bir hata, saldırganların SAUCE token fiyatlarını manipüle etmesine ve Bonzo borç verme protokolüne sahte fiyat verileri beslemesine izin verdi.
Bonzo Lend istismar nedeniyle ne kadar kaybetti?
Bonzo Lend, oracle istismarı sonucunda yaklaşık 9,05 milyon dolar kaybetti.
İstismarın ardından Bonzo Lend hangi adımları attı?
Bonzo protokolü daha fazla kaybı önlemek için duraklatıldı ve hem Bonzo Labs hem de Bonzo Finance Foundation kurtarma ve iyileştirme çabalarını koordine ediyor.
Saldırgan oracle istismarından nasıl faydalandı?
Saldırgan, 250 düşük değerli SAUCE token yatırdı ve değerlerini şişiren manipüle edilmiş bir fiyat güncellemesi gönderdi; ardından bu yapay olarak şişirilmiş teminatı kullanarak gerçek mevduatının değerini çok aşan varlıklar borç aldı.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Bonzo Lend protokolü istismarına ne sebep oldu?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Supra oracle sözleşmesinin imza doğrulamasındaki bir hata, saldırganların SAUCE token fiyatlarını manipüle etmesine ve Bonzo borç verme protokolüne sahte fiyat verileri beslemesine izin verdi.”}},{“@type”:”Question”,”name”:”Bonzo Lend istismar nedeniyle ne kadar kaybetti?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Bonzo Lend, oracle istismarı sonucunda yaklaşık 9,05 milyon dolar kaybetti.”}},{“@type”:”Question”,”name”:”İstismarın ardından Bonzo Lend hangi adımları attı?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Bonzo protokolü daha fazla kaybı önlemek için duraklatıldı ve hem Bonzo Labs hem de Bonzo Finance Foundation kurtarma ve iyileştirme çabalarını koordine ediyor.”}},{“@type”:”Question”,”name”:”Saldırgan oracle istismarından nasıl faydalandı?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Saldırgan, 250 düşük değerli SAUCE token yatırdı ve değerlerini şişiren manipüle edilmiş bir fiyat güncellemesi gönderdi; ardından bu yapay olarak şişirilmiş teminatı kullanarak gerçek mevduatının değerini çok aşan varlıklar borç aldı.”}}]}
Bu makale yapay zekâ desteğiyle hazırlanmış ve editör ekibi tarafından gözden geçirilmiştir.

