登錄
註冊
據 Woofun AI 消息,Hedera 網絡借貸協議 Bonzo Lend 因 Supra 驗證器接受含無效簽名的數據而被迫暫停提款,導致約 905 萬美元資金被異常提取。目前該平臺及關聯功能均處於維護狀態,資產市場全面凍結。
攻擊路徑始於 7 月 13 日世界標準時間 00:51,某錢包僅存入價值數美元的 250 SAUCE,隨即提交一份將 SAUCE/wHBAR 比價抬高約 12 個數量級的虛假數據,儘管當時實際市價仍接近 0.2 HBAR。該操縱價格在被上傳至 ETHE(灰度以太坊信託)鏈上存儲系統僅 8 秒後,攻擊者便成功借出 663 萬美元 USDC,隨後又借入 3450 萬美元封裝版 HBAR。
Woofun AI 整理數據顯示,基於平臺參考價格計算,該錢包最終提取的款項總額高達 905 萬美元,而初始抵押品僅爲 250 SAUCE。
技術歸因在於提交的更新數據中籤名字段爲空值,參照的委員會公鑰亦爲零值,在密碼學中零值被稱爲無窮大點。Supra 公司的驗證器將這些輸入發送至 Hedera 網絡的配對預編譯系統,由於兩個數值在數學上代表恆等關係,運算結果被判定爲真。驗證器未先行排除零值、恆等值及非合法輸入,誤將計算結果視爲有效授權信號。在此期間,名爲 Wallet B 的錢包也借走約 100 萬美元,其自稱善意響應者並聯系 Bonzo 表示願歸還資金,但截至當前,這筆約 100 萬美元的善意借款仍未實際歸還,最終金額尚待確認。
儘管 Supra 公司已修復驗證器問題,Bonzo Lend 仍處於關閉狀態。核心風險在於迴歸測試能否確保驗證器拒絕恆等值輸入,以及平臺是否將增加價格偏差檢測機制或收緊抵押品要求。此外,恢復提款後現有資產的處理方式、賠償方案、重新開放時間及相關提款條款均未公佈,流動性提供者只能等待後續解決方案落地。