مقالات

blog-image

هک ۹ میلیون دلاری Bonzo Lend؛ نقص اوراکل Supra عامل حمله شد

  • توسط: ادمین پارس بیت
  • زمان مطالعه: 7 دقیقه
  • ساخته شده در : 22 تیر 1405 به روز شده در : 22 تیر 1405
  • 8
آنچه در این مقاله می‌خوانید:

    حمله ۹ میلیون دلاری به پروتکل Bonzo Lend؛ سوءاستفاده از اوراکل قیمت در شبکه Hedera

    این خبر و تحلیل بر اساس گزارش و بررسی سایت Cointelegraph تهیه شده است.

    بازار امور مالی غیرمتمرکز (DeFi) بار دیگر شاهد یک حمله امنیتی بزرگ بود. پروتکل وام‌دهی Bonzo Lend که بر بستر بلاکچین Hedera فعالیت می‌کند، در جریان یک حمله مبتنی بر دستکاری اوراکل قیمتی، حدود ۹ میلیون دلار از دارایی‌های خود را از دست داد. مهاجم با سوءاستفاده از یک نقص در سیستم تأیید اوراکل شرکت Supra، توانست ارزش یک توکن کم‌ارزش را به‌طور غیرواقعی افزایش دهد و سپس میلیون‌ها دلار دارایی از استخر وام این پروتکل برداشت کند. این حادثه بار دیگر اهمیت امنیت اوراکل‌ها در اکوسیستم دیفای را برجسته کرده و نشان می‌دهد که حتی در صورت سالم بودن قراردادهای هوشمند و شبکه بلاکچین، ضعف در منابع داده خارجی می‌تواند خسارت‌های سنگینی به پروتکل‌های مالی غیرمتمرکز وارد کند.


    🔵 کارگزاری و سکوی تبادل تخصصی OTC رمزدارایی اتریوم (ETH) در ایران »»

    اتریوم یکی از مهم‌ترین و پرکاربردترین رمزدارایی‌های بازار است که علاوه بر نقش کلیدی در پرداخت‌ها، زیرساخت اصلی بسیاری از پروژه‌های بلاکچینی، قراردادهای هوشمند و اپلیکیشن‌های غیرمتمرکز را تشکیل می‌دهد. اگر قصد دارید با روش خرید و فروش اتریوم در بازار OTC و جزئیات این رمزدارایی در ایران بیشتر آشنا شوید، ادامه این مطلب را از دست ندهید.


    به کانال رسمی پارس‌بیت در بله خوش آمدید. جدیدترین اخبار ارزهای دیجیتال، تحلیل بازار، آموزش بلاکچین، اطلاعیه‌های رسمی، خدمات OTC و به‌روزرسانی‌های پارس‌بیت را از اینجا دنبال کنید.  گزینه ۲ (تبلیغاتی)

    جزئیات حمله به Bonzo Lend

    بر اساس گزارش اولیه منتشرشده توسط تیم Bonzo Lend، مهاجم ابتدا تنها ۲۵۰ واحد توکن SAUCE را که ارزش آن تنها چند دلار بود، به‌عنوان وثیقه در پروتکل سپرده‌گذاری کرد. در شرایط عادی، چنین وثیقه‌ای امکان دریافت وام قابل‌توجهی را فراهم نمی‌کند.

    اما مهاجم با سوءاستفاده از نقص موجود در سامانه تأیید اوراکل قیمتی Supra، موفق شد قیمت این توکن را به شکلی غیرواقعی و حدود ۱۲ مرتبه توان ده بیشتر از ارزش واقعی آن ثبت کند. در نتیجه، سیستم Bonzo Lend این وثیقه را بسیار ارزشمند تشخیص داد و اجازه برداشت حجم عظیمی از دارایی‌ها را صادر کرد.

    در ادامه این حمله، کیف پول مهاجم موفق شد حدود ۶.۶۳ میلیون USDC و همچنین ۳۴.۵ میلیون Wrapped HBAR را از استخر نقدینگی این پروتکل وام بگیرد؛ دارایی‌هایی که مجموع ارزش آن‌ها حدود ۹ میلیون دلار برآورد شده است.

    تصویری مفهومی از هک پروتکل Bonzo Lend در شبکه Hedera با نمایش حمله سایبری، نماد توکن SAUCE، اوراکل Supra و سرقت ۹ میلیون دلاری دارایی‌های دیفای.

    علت اصلی حادثه چه بود؟

    تیم Bonzo Lend تأکید کرده است که مشکل از قراردادهای هوشمند این پروتکل یا شبکه Hedera نبوده است. طبق توضیحات منتشرشده، منشأ حمله به نقص موجود در Onchain Oracle Verifier متعلق به Supra بازمی‌گردد. این نقص باعث شده بود سیستم تأییدکننده، یک پیام قیمتی دستکاری‌شده را با امضای دیجیتالی خالی (Zeroed Signature) معتبر تشخیص دهد. در واقع، مکانیزم اعتبارسنجی نتوانسته بود جعلی بودن اطلاعات قیمتی را شناسایی کند و داده نادرست وارد سیستم وام‌دهی شد. پس از انتشار گزارش، تیم Supra اعلام کرد که این مشکل را شناسایی کرده و اصلاحیه امنیتی لازم را در سریع‌ترین زمان ممکن پیاده‌سازی کرده است.

    چرا اوراکل‌ها در دیفای اهمیت بالایی دارند؟

    اوراکل‌ها یکی از حیاتی‌ترین اجزای پروتکل‌های امور مالی غیرمتمرکز محسوب می‌شوند. قراردادهای هوشمند به‌تنهایی قادر به دریافت اطلاعات دنیای بیرون نیستند و برای اطلاع از قیمت دارایی‌ها، نرخ ارز، وضعیت بازار یا سایر داده‌های موردنیاز به اوراکل‌ها وابسته‌اند. در پروتکل‌های وام‌دهی، ارزش وثیقه کاربران مستقیماً بر اساس داده‌های ارائه‌شده توسط اوراکل تعیین می‌شود. اگر این داده‌ها به هر دلیلی اشتباه یا دستکاری شوند، سیستم ممکن است وثیقه‌ای کم‌ارزش را بسیار گران‌قیمت تشخیص دهد و اجازه دریافت وام‌هایی بسیار بیشتر از ارزش واقعی آن را صادر کند. به همین دلیل، بسیاری از بزرگ‌ترین حملات تاریخ دیفای نه به دلیل ضعف قراردادهای هوشمند، بلکه به علت دستکاری داده‌های قیمتی یا حمله به اوراکل‌ها رخ داده‌اند.

    Bonzo Lend: مشکل از Hedera نبود

    یکی از نکات مهم این حادثه آن است که تیم توسعه Bonzo تأکید کرده شبکه Hedera هیچ نقص امنیتی نداشته و قراردادهای هوشمند این پروتکل نیز هک نشده‌اند.

    به گفته این تیم، تمام فرآیندهای داخلی Bonzo مطابق طراحی خود عمل کرده‌اند و تنها داده قیمتی اشتباه دریافت‌شده از اوراکل باعث شده تصمیمات اشتباهی در خصوص میزان اعتبار وثیقه اتخاذ شود.

    این موضوع بار دیگر نشان می‌دهد که امنیت اکوسیستم دیفای تنها به کیفیت قراردادهای هوشمند وابسته نیست و تمام اجزای زیرساخت، از جمله ارائه‌دهندگان داده، نقش تعیین‌کننده‌ای در حفظ امنیت سرمایه کاربران دارند.

    ادامه روند نگران‌کننده هک‌های دیفای در سال ۲۰۲۶

    حمله به Bonzo Lend تنها یکی از ده‌ها رخداد امنیتی بزرگ سال ۲۰۲۶ محسوب می‌شود. طبق آمار منتشرشده توسط مؤسسات تحلیل بازار، سه‌ماهه دوم سال جاری به پرحادثه‌ترین دوره تاریخ دیفای از نظر تعداد حملات تبدیل شده است. در این بازه زمانی ۸۳ حمله امنیتی ثبت شده که مجموع خسارت آن‌ها به حدود ۷۵۵ میلیون دلار رسیده است. بخش قابل‌توجهی از این خسارت‌ها مربوط به حملات علیه پل‌های بین‌زنجیره‌ای (Cross-Chain Bridges) بوده که حدود ۳۵۱ میلیون دلار زیان ایجاد کرده‌اند. علاوه بر آن، حملات ناشی از دسترسی مدیران، سوءاستفاده از مجوزهای مدیریتی و همچنین دستکاری قیمت توکن‌ها نیز سهم قابل‌توجهی از زیان‌های این فصل را به خود اختصاص داده‌اند.

    کاهش ارزش بازار دیفای

    تکرار این حملات امنیتی تأثیر محسوسی بر اعتماد سرمایه‌گذاران گذاشته است. داده‌های بازار نشان می‌دهد ارزش کل دارایی‌های قفل‌شده (TVL) در پروژه‌های دیفای طی سال ۲۰۲۶ کاهش چشمگیری داشته است. بر اساس آمار منتشرشده، TVL دیفای از حدود ۱۱۵ میلیارد دلار در ابتدای سال به بیش از ۷۰ میلیارد دلار در ماه ژوئن رسیده که کاهش نزدیک به ۳۹ درصدی را نشان می‌دهد.

    شباهت با حمله اخیر به YieldBlox

    حمله Bonzo Lend شباهت زیادی به رخداد امنیتی دیگری دارد که چند ماه پیش در شبکه Stellar اتفاق افتاد.در آن حادثه نیز مهاجمان با دستکاری مسیر قیمت‌گذاری وثیقه USTRY موفق شدند ارزش آن را به‌طور مصنوعی افزایش دهند و حدود ۱۰ میلیون دلار از استخر وام‌دهی تحت مدیریت YieldBlox DAO خارج کنند.شباهت این دو حمله نشان می‌دهد سوءاستفاده از اوراکل‌های قیمتی همچنان یکی از مهم‌ترین تهدیدهای امنیتی برای پروتکل‌های وام‌دهی غیرمتمرکز محسوب می‌شود.

    آینده امنیت در پروتکل‌های وام‌دهی

    کارشناسان معتقدند پروژه‌های دیفای برای جلوگیری از تکرار چنین رخدادهایی باید از چندین منبع داده مستقل استفاده کنند و مکانیزم‌های اعتبارسنجی چندلایه را در زیرساخت اوراکل‌های خود به‌کار گیرند. همچنین استفاده از محدودیت‌های برداشت، سامانه‌های تشخیص رفتار غیرعادی و بررسی چندمرحله‌ای قیمت‌ها می‌تواند احتمال موفقیت چنین حملاتی را به میزان قابل‌توجهی کاهش دهد.با افزایش سرمایه موجود در اکوسیستم دیفای، انگیزه مهاجمان برای یافتن آسیب‌پذیری‌های جدید نیز بیشتر می‌شود. ازاین‌رو، امنیت اوراکل‌ها و زیرساخت‌های انتقال داده بیش از گذشته به یکی از اولویت‌های اصلی توسعه‌دهندگان تبدیل شده است.

    جمع‌بندی

    حمله ۹ میلیون دلاری به Bonzo Lend نمونه‌ای دیگر از آسیب‌پذیری‌های موجود در زیرساخت‌های امور مالی غیرمتمرکز است. در این حادثه، مهاجم بدون نفوذ به قراردادهای هوشمند یا شبکه Hedera، تنها با سوءاستفاده از نقص موجود در سامانه تأیید اوراکل Supra توانست ارزش یک وثیقه ناچیز را به‌صورت غیرواقعی افزایش داده و میلیون‌ها دلار دارایی از استخر وام برداشت کند.ادامه این نوع حملات نشان می‌دهد که امنیت دیفای دیگر تنها به کیفیت قراردادهای هوشمند محدود نمی‌شود و اوراکل‌های قیمتی، به‌عنوان پل ارتباطی میان بلاکچین و داده‌های دنیای واقعی، به یکی از حساس‌ترین نقاط این اکوسیستم تبدیل شده‌اند. انتظار می‌رود پروژه‌های وام‌دهی در ماه‌های آینده سرمایه‌گذاری بیشتری روی امنیت اوراکل‌ها و مکانیزم‌های اعتبارسنجی داده انجام دهند تا از تکرار خسارت‌های مشابه جلوگیری شود.

    سوال متداول

    1. Bonzo Lend چیست؟

    Bonzo Lend یک پروتکل وام‌دهی غیرمتمرکز (DeFi) است که بر بستر شبکه Hedera فعالیت می‌کند و امکان سپرده‌گذاری و دریافت وام با استفاده از دارایی‌های دیجیتال را فراهم می‌کند.

    2. در حمله Bonzo Lend چه میزان سرمایه به سرقت رفت؟

    در این حمله حدود ۹ میلیون دلار دارایی از استخر وام‌دهی پروتکل خارج شد.

    3. علت اصلی هک Bonzo Lend چه بود؟

    علت اصلی، سوءاستفاده از نقص موجود در سیستم تأیید اوراکل Supra بود که قیمت توکن SAUCE را به‌صورت غیرواقعی افزایش داد.

    4. آیا شبکه Hedera هک شده است؟

    خیر. تیم Bonzo اعلام کرده که شبکه Hedera و قراردادهای هوشمند این پروتکل دچار آسیب‌پذیری نبوده‌اند و مشکل تنها به اوراکل مربوط می‌شود.

    5. مهاجم چگونه موفق به دریافت وام شد؟

    مهاجم با سپرده‌گذاری مقدار کمی توکن SAUCE و دستکاری قیمت آن، وثیقه‌ای بسیار ارزشمند ایجاد کرد و توانست میلیون‌ها دلار دارایی وام بگیرد.

    6. اوراکل در پروژه‌های دیفای چه وظیفه‌ای دارد؟

    اوراکل داده‌های خارجی مانند قیمت دارایی‌ها را به قراردادهای هوشمند منتقل می‌کند و مبنای محاسبه ارزش وثیقه و سایر عملیات مالی است.

    7. آیا تیم Supra نسبت به این مشکل واکنش نشان داد؟

    بله. تیم Supra پس از شناسایی نقص امنیتی اعلام کرد که مشکل را برطرف کرده و اصلاحیه لازم را اعمال کرده است.

    8. آیا کاربران Bonzo Lend همچنان در معرض خطر هستند؟

    تیم Bonzo اعلام کرده که آسیب‌پذیری برطرف شده است، اما بررسی کامل حادثه و ارزیابی خسارت‌ها همچنان ادامه دارد.

    9. چرا حملات اوراکلی برای دیفای خطرناک هستند؟

    زیرا دستکاری داده‌های قیمتی می‌تواند باعث شود پروتکل‌ها ارزش وثیقه را اشتباه محاسبه کنند و مهاجمان دارایی‌های زیادی را بدون پشتوانه واقعی برداشت کنند.

    10. این حمله چه تأثیری بر بازار دیفای دارد؟

    تکرار چنین حملاتی می‌تواند اعتماد کاربران را کاهش دهد، باعث خروج سرمایه از پروتکل‌های دیفای شود و توسعه‌دهندگان را به تقویت زیرساخت‌های امنیتی و اوراکل‌ها وادار کند.

    اشتراک:

    کلیه محتواها، تحلیل‌ها و اخبار منتشر شده در این وبسایت صرفاً جنبه اطلاع‌رسانی و آموزشی دارند و وبسایت پارس بیت هیچگونه مسئولیت، توصیه، ترویج یا تشویق به خرید، فروش، سرمایه‌گذاری یا استفاده از محصولات و خدمات مرتبط با مطالب مذکور ندارد. استفاده از اطلاعات ارائه شده بر عهده کاربر است و پارس بیت هیچ تضمینی در خصوص ، کامل بودن یا نتایج ناشی از استفاده آن ارائه نمی‌دهد.

    -->