登录
注册
据 Woofun AI 消息,Hedera 网络借贷协议 Bonzo Lend 因 Supra 验证器接受含无效签名的数据而被迫暂停提款,导致约 905 万美元资金被异常提取。目前该平台及关联功能均处于维护状态,资产市场全面冻结。
攻击路径始于 7 月 13 日世界标准时间 00:51,某钱包仅存入价值数美元的 250 SAUCE,随即提交一份将 SAUCE/wHBAR 比价抬高约 12 个数量级的虚假数据,尽管当时实际市价仍接近 0.2 HBAR。该操纵价格在被上传至 ETHE(灰度以太坊信托)链上存储系统仅 8 秒后,攻击者便成功借出 663 万美元 USDC,随后又借入 3450 万美元封装版 HBAR。
Woofun AI 整理数据显示,基于平台参考价格计算,该钱包最终提取的款项总额高达 905 万美元,而初始抵押品仅为 250 SAUCE。
技术归因在于提交的更新数据中签名字段为空值,参照的委员会公钥亦为零值,在密码学中零值被称为无穷大点。Supra 公司的验证器将这些输入发送至 Hedera 网络的配对预编译系统,由于两个数值在数学上代表恒等关系,运算结果被判定为真。验证器未先行排除零值、恒等值及非合法输入,误将计算结果视为有效授权信号。在此期间,名为 Wallet B 的钱包也借走约 100 万美元,其自称善意响应者并联系 Bonzo 表示愿归还资金,但截至当前,这笔约 100 万美元的善意借款仍未实际归还,最终金额尚待确认。
尽管 Supra 公司已修复验证器问题,Bonzo Lend 仍处于关闭状态。核心风险在于回归测试能否确保验证器拒绝恒等值输入,以及平台是否将增加价格偏差检测机制或收紧抵押品要求。此外,恢复提款后现有资产的处理方式、赔偿方案、重新开放时间及相关提款条款均未公布,流动性提供者只能等待后续解决方案落地。