این خبر و تحلیل بر اساس گزارش و بررسی سایت Cointelegraph تهیه شده است.
بازار امور مالی غیرمتمرکز (DeFi) بار دیگر شاهد یک حمله امنیتی بزرگ بود. پروتکل وامدهی Bonzo Lend که بر بستر بلاکچین Hedera فعالیت میکند، در جریان یک حمله مبتنی بر دستکاری اوراکل قیمتی، حدود ۹ میلیون دلار از داراییهای خود را از دست داد. مهاجم با سوءاستفاده از یک نقص در سیستم تأیید اوراکل شرکت Supra، توانست ارزش یک توکن کمارزش را بهطور غیرواقعی افزایش دهد و سپس میلیونها دلار دارایی از استخر وام این پروتکل برداشت کند. این حادثه بار دیگر اهمیت امنیت اوراکلها در اکوسیستم دیفای را برجسته کرده و نشان میدهد که حتی در صورت سالم بودن قراردادهای هوشمند و شبکه بلاکچین، ضعف در منابع داده خارجی میتواند خسارتهای سنگینی به پروتکلهای مالی غیرمتمرکز وارد کند.
اتریوم یکی از مهمترین و پرکاربردترین رمزداراییهای بازار است که علاوه بر نقش کلیدی در پرداختها، زیرساخت اصلی بسیاری از پروژههای بلاکچینی، قراردادهای هوشمند و اپلیکیشنهای غیرمتمرکز را تشکیل میدهد. اگر قصد دارید با روش خرید و فروش اتریوم در بازار OTC و جزئیات این رمزدارایی در ایران بیشتر آشنا شوید، ادامه این مطلب را از دست ندهید.
بر اساس گزارش اولیه منتشرشده توسط تیم Bonzo Lend، مهاجم ابتدا تنها ۲۵۰ واحد توکن SAUCE را که ارزش آن تنها چند دلار بود، بهعنوان وثیقه در پروتکل سپردهگذاری کرد. در شرایط عادی، چنین وثیقهای امکان دریافت وام قابلتوجهی را فراهم نمیکند.
اما مهاجم با سوءاستفاده از نقص موجود در سامانه تأیید اوراکل قیمتی Supra، موفق شد قیمت این توکن را به شکلی غیرواقعی و حدود ۱۲ مرتبه توان ده بیشتر از ارزش واقعی آن ثبت کند. در نتیجه، سیستم Bonzo Lend این وثیقه را بسیار ارزشمند تشخیص داد و اجازه برداشت حجم عظیمی از داراییها را صادر کرد.
در ادامه این حمله، کیف پول مهاجم موفق شد حدود ۶.۶۳ میلیون USDC و همچنین ۳۴.۵ میلیون Wrapped HBAR را از استخر نقدینگی این پروتکل وام بگیرد؛ داراییهایی که مجموع ارزش آنها حدود ۹ میلیون دلار برآورد شده است.

تیم Bonzo Lend تأکید کرده است که مشکل از قراردادهای هوشمند این پروتکل یا شبکه Hedera نبوده است. طبق توضیحات منتشرشده، منشأ حمله به نقص موجود در Onchain Oracle Verifier متعلق به Supra بازمیگردد. این نقص باعث شده بود سیستم تأییدکننده، یک پیام قیمتی دستکاریشده را با امضای دیجیتالی خالی (Zeroed Signature) معتبر تشخیص دهد. در واقع، مکانیزم اعتبارسنجی نتوانسته بود جعلی بودن اطلاعات قیمتی را شناسایی کند و داده نادرست وارد سیستم وامدهی شد. پس از انتشار گزارش، تیم Supra اعلام کرد که این مشکل را شناسایی کرده و اصلاحیه امنیتی لازم را در سریعترین زمان ممکن پیادهسازی کرده است.
اوراکلها یکی از حیاتیترین اجزای پروتکلهای امور مالی غیرمتمرکز محسوب میشوند. قراردادهای هوشمند بهتنهایی قادر به دریافت اطلاعات دنیای بیرون نیستند و برای اطلاع از قیمت داراییها، نرخ ارز، وضعیت بازار یا سایر دادههای موردنیاز به اوراکلها وابستهاند. در پروتکلهای وامدهی، ارزش وثیقه کاربران مستقیماً بر اساس دادههای ارائهشده توسط اوراکل تعیین میشود. اگر این دادهها به هر دلیلی اشتباه یا دستکاری شوند، سیستم ممکن است وثیقهای کمارزش را بسیار گرانقیمت تشخیص دهد و اجازه دریافت وامهایی بسیار بیشتر از ارزش واقعی آن را صادر کند. به همین دلیل، بسیاری از بزرگترین حملات تاریخ دیفای نه به دلیل ضعف قراردادهای هوشمند، بلکه به علت دستکاری دادههای قیمتی یا حمله به اوراکلها رخ دادهاند.
یکی از نکات مهم این حادثه آن است که تیم توسعه Bonzo تأکید کرده شبکه Hedera هیچ نقص امنیتی نداشته و قراردادهای هوشمند این پروتکل نیز هک نشدهاند.
به گفته این تیم، تمام فرآیندهای داخلی Bonzo مطابق طراحی خود عمل کردهاند و تنها داده قیمتی اشتباه دریافتشده از اوراکل باعث شده تصمیمات اشتباهی در خصوص میزان اعتبار وثیقه اتخاذ شود.
این موضوع بار دیگر نشان میدهد که امنیت اکوسیستم دیفای تنها به کیفیت قراردادهای هوشمند وابسته نیست و تمام اجزای زیرساخت، از جمله ارائهدهندگان داده، نقش تعیینکنندهای در حفظ امنیت سرمایه کاربران دارند.
حمله به Bonzo Lend تنها یکی از دهها رخداد امنیتی بزرگ سال ۲۰۲۶ محسوب میشود. طبق آمار منتشرشده توسط مؤسسات تحلیل بازار، سهماهه دوم سال جاری به پرحادثهترین دوره تاریخ دیفای از نظر تعداد حملات تبدیل شده است. در این بازه زمانی ۸۳ حمله امنیتی ثبت شده که مجموع خسارت آنها به حدود ۷۵۵ میلیون دلار رسیده است. بخش قابلتوجهی از این خسارتها مربوط به حملات علیه پلهای بینزنجیرهای (Cross-Chain Bridges) بوده که حدود ۳۵۱ میلیون دلار زیان ایجاد کردهاند. علاوه بر آن، حملات ناشی از دسترسی مدیران، سوءاستفاده از مجوزهای مدیریتی و همچنین دستکاری قیمت توکنها نیز سهم قابلتوجهی از زیانهای این فصل را به خود اختصاص دادهاند.
تکرار این حملات امنیتی تأثیر محسوسی بر اعتماد سرمایهگذاران گذاشته است. دادههای بازار نشان میدهد ارزش کل داراییهای قفلشده (TVL) در پروژههای دیفای طی سال ۲۰۲۶ کاهش چشمگیری داشته است. بر اساس آمار منتشرشده، TVL دیفای از حدود ۱۱۵ میلیارد دلار در ابتدای سال به بیش از ۷۰ میلیارد دلار در ماه ژوئن رسیده که کاهش نزدیک به ۳۹ درصدی را نشان میدهد.
حمله Bonzo Lend شباهت زیادی به رخداد امنیتی دیگری دارد که چند ماه پیش در شبکه Stellar اتفاق افتاد.در آن حادثه نیز مهاجمان با دستکاری مسیر قیمتگذاری وثیقه USTRY موفق شدند ارزش آن را بهطور مصنوعی افزایش دهند و حدود ۱۰ میلیون دلار از استخر وامدهی تحت مدیریت YieldBlox DAO خارج کنند.شباهت این دو حمله نشان میدهد سوءاستفاده از اوراکلهای قیمتی همچنان یکی از مهمترین تهدیدهای امنیتی برای پروتکلهای وامدهی غیرمتمرکز محسوب میشود.
کارشناسان معتقدند پروژههای دیفای برای جلوگیری از تکرار چنین رخدادهایی باید از چندین منبع داده مستقل استفاده کنند و مکانیزمهای اعتبارسنجی چندلایه را در زیرساخت اوراکلهای خود بهکار گیرند. همچنین استفاده از محدودیتهای برداشت، سامانههای تشخیص رفتار غیرعادی و بررسی چندمرحلهای قیمتها میتواند احتمال موفقیت چنین حملاتی را به میزان قابلتوجهی کاهش دهد.با افزایش سرمایه موجود در اکوسیستم دیفای، انگیزه مهاجمان برای یافتن آسیبپذیریهای جدید نیز بیشتر میشود. ازاینرو، امنیت اوراکلها و زیرساختهای انتقال داده بیش از گذشته به یکی از اولویتهای اصلی توسعهدهندگان تبدیل شده است.
حمله ۹ میلیون دلاری به Bonzo Lend نمونهای دیگر از آسیبپذیریهای موجود در زیرساختهای امور مالی غیرمتمرکز است. در این حادثه، مهاجم بدون نفوذ به قراردادهای هوشمند یا شبکه Hedera، تنها با سوءاستفاده از نقص موجود در سامانه تأیید اوراکل Supra توانست ارزش یک وثیقه ناچیز را بهصورت غیرواقعی افزایش داده و میلیونها دلار دارایی از استخر وام برداشت کند.ادامه این نوع حملات نشان میدهد که امنیت دیفای دیگر تنها به کیفیت قراردادهای هوشمند محدود نمیشود و اوراکلهای قیمتی، بهعنوان پل ارتباطی میان بلاکچین و دادههای دنیای واقعی، به یکی از حساسترین نقاط این اکوسیستم تبدیل شدهاند. انتظار میرود پروژههای وامدهی در ماههای آینده سرمایهگذاری بیشتری روی امنیت اوراکلها و مکانیزمهای اعتبارسنجی داده انجام دهند تا از تکرار خسارتهای مشابه جلوگیری شود.
Bonzo Lend یک پروتکل وامدهی غیرمتمرکز (DeFi) است که بر بستر شبکه Hedera فعالیت میکند و امکان سپردهگذاری و دریافت وام با استفاده از داراییهای دیجیتال را فراهم میکند.
در این حمله حدود ۹ میلیون دلار دارایی از استخر وامدهی پروتکل خارج شد.
علت اصلی، سوءاستفاده از نقص موجود در سیستم تأیید اوراکل Supra بود که قیمت توکن SAUCE را بهصورت غیرواقعی افزایش داد.
خیر. تیم Bonzo اعلام کرده که شبکه Hedera و قراردادهای هوشمند این پروتکل دچار آسیبپذیری نبودهاند و مشکل تنها به اوراکل مربوط میشود.
مهاجم با سپردهگذاری مقدار کمی توکن SAUCE و دستکاری قیمت آن، وثیقهای بسیار ارزشمند ایجاد کرد و توانست میلیونها دلار دارایی وام بگیرد.
اوراکل دادههای خارجی مانند قیمت داراییها را به قراردادهای هوشمند منتقل میکند و مبنای محاسبه ارزش وثیقه و سایر عملیات مالی است.
بله. تیم Supra پس از شناسایی نقص امنیتی اعلام کرد که مشکل را برطرف کرده و اصلاحیه لازم را اعمال کرده است.
تیم Bonzo اعلام کرده که آسیبپذیری برطرف شده است، اما بررسی کامل حادثه و ارزیابی خسارتها همچنان ادامه دارد.
زیرا دستکاری دادههای قیمتی میتواند باعث شود پروتکلها ارزش وثیقه را اشتباه محاسبه کنند و مهاجمان داراییهای زیادی را بدون پشتوانه واقعی برداشت کنند.
تکرار چنین حملاتی میتواند اعتماد کاربران را کاهش دهد، باعث خروج سرمایه از پروتکلهای دیفای شود و توسعهدهندگان را به تقویت زیرساختهای امنیتی و اوراکلها وادار کند.
کلیه محتواها، تحلیلها و اخبار منتشر شده در این وبسایت صرفاً جنبه اطلاعرسانی و آموزشی دارند و وبسایت پارس بیت هیچگونه مسئولیت، توصیه، ترویج یا تشویق به خرید، فروش، سرمایهگذاری یا استفاده از محصولات و خدمات مرتبط با مطالب مذکور ندارد. استفاده از اطلاعات ارائه شده بر عهده کاربر است و پارس بیت هیچ تضمینی در خصوص ، کامل بودن یا نتایج ناشی از استفاده آن ارائه نمیدهد.