هکرها همچنان در کمین بازار کریپتو؛ پروتکل بونزو لند ۹.۰۵ میلیون دلار از دست داد

پروتکل وامدهی غیرمتمرکز بونزو لند (Bonzo Lend) که روی شبکه هدرا (HBAR) فعالیت میکند، اواخر روز جمعه به وقت آمریکا هدف یک حمله سایبری قرار گرفت و حدود ۹.۰۵ میلیون دلار از داراییهای آن به سرقت رفت. بر اساس گزارش اولیه Bonzo، مهاجم از یک آسیبپذیری در سامانه تأییدکننده اوراکل شخص ثالث Supra سوءاستفاده کرد و قیمت جعلی برای توکن SAUCE ثبت کرد.
خلاصه خبر
- هکر با سوءاستفاده از یک باگ در سامانه تأییدکننده اوراکل Supra، قیمت توکن SAUCE را بهصورت جعلی افزایش داد و توانست حدود ۹.۰۵ میلیون دلار از Bonzo Lend وام بگیرد.
- هدرا تأکید کرد که این حمله به زیرساخت اصلی شبکه ارتباطی نداشته و تنها ناشی از آسیبپذیری یک سرویس شخص ثالث بوده است.
به گزارش دبلاک، پس از این حمله، پلتفرم بونزو لند فعالیت خود را متوقف کرد. برنامه امتیازدهی (Points Program) نیز متوقف شد، اما صندوقهای سرمایهگذاری (Vaults)، پل انتقال دارایی (Bridge) و محصولات استیکینگ این پروژه تحت تأثیر قرار نگرفتند. شبکه هدرا نیز در شبکه اجتماعی ایکس اعلام کرد که این حادثه تنها به تأییدکننده اوراکل شخص ثالث مربوط بوده و هیچ نقصی در زیرساخت اصلی شبکه وجود نداشته است.
مهاجم حدود ساعت ۸:۴۰ شب به وقت آمریکا، تنها ۲۵۰ توکن SAUCE را که ارزشی معادل چند دلار داشت، بهعنوان وثیقه سپردهگذاری کرد. سپس با ارسال یک بهروزرسانی قیمت به قرارداد اوراکل درخواستی Supra، ارزش این توکن را حدود ۱۲ مرتبه بزرگی بیشتر از مقدار واقعی آن نشان داد. در آن زمان، هر توکن SAUCE حدود ۰.۲ HBAR معامله میشد، اما قیمت جعلی ثبتشده برابر با عدد ۱ و ۳۰ صفر پس از آن بود.
چند ثانیه پس از ثبت این قیمت جعلی روی بلاکچین، در ساعت ۸:۵۱ شب، همان کیف پول موفق شد حدود ۶.۶۳ میلیون USDC و ۳۴.۵ میلیون Wrapped HBAR را در برابر آن وثیقه تقریباً بیارزش وام بگیرد. بونزو ارزش داراییهای خارجشده را با در نظر گرفتن قیمت تقریبی ۰.۰۷ دلار برای هر HBAR، حدود ۹.۰۵ میلیون دلار برآورد کرد.
مهاجم یک قیمت جعلی را همراه با یک امضای دیجیتال کاملاً نامعتبر ارسال کرد؛ امضایی که فقط از عدد صفر تشکیل شده بود. سیستم Supra باید این درخواست را رد میکرد، اما به دلیل یک نقص فنی در فرآیند بررسی امضاها، آن را معتبر دانست و اجازه ثبت قیمت جعلی را داد.
به همین دلیل، مهاجم توانست بدون تأیید امضاکنندگان رسمی Supra، یک قیمت جعلی ثبت کند. به بیان ساده، او نه رمزنگاری Supra را شکست و نه کلید امضای آن را سرقت کرد؛ بلکه راهی پیدا کرد تا سامانه تأییدکننده، یک بهروزرسانی کاملاً نامعتبر را معتبر تشخیص دهد.
بونزو اعلام کرد که Supra این مشکل را تأیید کرده و نسخه اصلاحشده قرارداد تأییدکننده را روی شبکه اصلی هدرا منتشر کرده است. تیم بونزو نوشت:
به لطف این اصلاح و امکان بررسی رفتار قرارداد، اکنون میتوانیم سازوکار این حمله را توضیح دهیم.
در همین زمان، یک کیف پول دیگر نیز در حالی که قیمت جعلی هنوز فعال بود، حدود یک میلیون دلار وام گرفت. اما سپس با تیم بونزو تماس گرفت، خود را بهعنوان یک هکر کلاهسفید معرفی کرد و اعلام کرد قصد دارد این داراییها را بازگرداند. به همین دلیل، بونزو این مبلغ را در برآورد اصلی خسارت لحاظ نکرد؛ در غیر این صورت، میزان سرقت به حدود ۱۰.۰۶ میلیون دلار میرسید.
پژوهشگر آنچین به نام «Specter» نخستین فردی بود که انتقالهای مشکوک دارایی از هدرا به اتریوم را شناسایی کرد. کمی بعد، Bonzo منشأ حمله را تأیید کرد. در ساعت ۹:۳۶ شب قیمت صحیح توکن SAUCE از طریق اوراکل ثبت شد و پنج دقیقه بعد، بونزو استخر وامدهی خود را متوقف کرد.
این حمله، سال پرحادثه بازار رمزارزها را سنگینتر کرد. بر اساس گزارش Immunefi، پروژههای کریپتویی تنها در نیمه نخست سال ۲۰۲۶، طی رکورد ۲۰۷ حمله، حدود ۹۷۲ میلیون دلار خسارت دیدهاند.
این حادثه همچنین نشان میدهد که حملات سایبری در صنعت کریپتو بیش از گذشته به سمت زیرساختها، سرقت یا سوءاستفاده از کلیدهای خصوصی و ضعف در دسترسیهای ویژه حرکت کردهاند؛ نه صرفاً نقص در قراردادهای هوشمند اصلی پروژهها.




