هکر بونزو قیمت توکن SAUCE را به‌صورت جعلی افزایش داد و توانست حدود ۹.۰۵ میلیون دلار از Bonzo Lend وام بگیرد.

پروتکل وام‌دهی غیرمتمرکز بونزو لند (Bonzo Lend) که روی شبکه هدرا (HBAR) فعالیت می‌کند، اواخر روز جمعه به وقت آمریکا هدف یک حمله سایبری قرار گرفت و حدود ۹.۰۵ میلیون دلار از دارایی‌های آن به سرقت رفت. بر اساس گزارش اولیه Bonzo، مهاجم از یک آسیب‌پذیری در سامانه تأییدکننده اوراکل شخص ثالث Supra سوءاستفاده کرد و قیمت جعلی برای توکن SAUCE ثبت کرد.

خلاصه خبر

  • هکر با سوءاستفاده از یک باگ در سامانه تأییدکننده اوراکل Supra، قیمت توکن SAUCE را به‌صورت جعلی افزایش داد و توانست حدود ۹.۰۵ میلیون دلار از Bonzo Lend وام بگیرد.
  • هدرا تأکید کرد که این حمله به زیرساخت اصلی شبکه ارتباطی نداشته و تنها ناشی از آسیب‌پذیری یک سرویس شخص ثالث بوده است.

به گزارش دبلاک، پس از این حمله، پلتفرم بونزو لند فعالیت خود را متوقف کرد. برنامه امتیازدهی (Points Program) نیز متوقف شد، اما صندوق‌های سرمایه‌گذاری (Vaults)، پل انتقال دارایی (Bridge) و محصولات استیکینگ این پروژه تحت تأثیر قرار نگرفتند. شبکه هدرا نیز در شبکه اجتماعی ایکس اعلام کرد که این حادثه تنها به تأییدکننده اوراکل شخص ثالث مربوط بوده و هیچ نقصی در زیرساخت اصلی شبکه وجود نداشته است.

مهاجم حدود ساعت ۸:۴۰ شب به وقت آمریکا، تنها ۲۵۰ توکن SAUCE را که ارزشی معادل چند دلار داشت، به‌عنوان وثیقه سپرده‌گذاری کرد. سپس با ارسال یک به‌روزرسانی قیمت به قرارداد اوراکل درخواستی Supra، ارزش این توکن را حدود ۱۲ مرتبه بزرگی بیشتر از مقدار واقعی آن نشان داد. در آن زمان، هر توکن SAUCE حدود ۰.۲ HBAR معامله می‌شد، اما قیمت جعلی ثبت‌شده برابر با عدد ۱ و ۳۰ صفر پس از آن بود.

چند ثانیه پس از ثبت این قیمت جعلی روی بلاکچین، در ساعت ۸:۵۱ شب، همان کیف پول موفق شد حدود ۶.۶۳ میلیون USDC و ۳۴.۵ میلیون Wrapped HBAR را در برابر آن وثیقه تقریباً بی‌ارزش وام بگیرد. بونزو ارزش دارایی‌های خارج‌شده را با در نظر گرفتن قیمت تقریبی ۰.۰۷ دلار برای هر HBAR، حدود ۹.۰۵ میلیون دلار برآورد کرد.

مهاجم یک قیمت جعلی را همراه با یک امضای دیجیتال کاملاً نامعتبر ارسال کرد؛ امضایی که فقط از عدد صفر تشکیل شده بود. سیستم Supra باید این درخواست را رد می‌کرد، اما به دلیل یک نقص فنی در فرآیند بررسی امضاها، آن را معتبر دانست و اجازه ثبت قیمت جعلی را داد.

به همین دلیل، مهاجم توانست بدون تأیید امضاکنندگان رسمی Supra، یک قیمت جعلی ثبت کند. به بیان ساده، او نه رمزنگاری Supra را شکست و نه کلید امضای آن را سرقت کرد؛ بلکه راهی پیدا کرد تا سامانه تأییدکننده، یک به‌روزرسانی کاملاً نامعتبر را معتبر تشخیص دهد.

بونزو اعلام کرد که Supra این مشکل را تأیید کرده و نسخه اصلاح‌شده قرارداد تأییدکننده را روی شبکه اصلی هدرا منتشر کرده است. تیم بونزو نوشت:

به لطف این اصلاح و امکان بررسی رفتار قرارداد، اکنون می‌توانیم سازوکار این حمله را توضیح دهیم.

در همین زمان، یک کیف پول دیگر نیز در حالی که قیمت جعلی هنوز فعال بود، حدود یک میلیون دلار وام گرفت. اما سپس با تیم بونزو تماس گرفت، خود را به‌عنوان یک هکر کلاه‌سفید معرفی کرد و اعلام کرد قصد دارد این دارایی‌ها را بازگرداند. به همین دلیل، بونزو این مبلغ را در برآورد اصلی خسارت لحاظ نکرد؛ در غیر این صورت، میزان سرقت به حدود ۱۰.۰۶ میلیون دلار می‌رسید.

پژوهشگر آن‌چین به نام «Specter» نخستین فردی بود که انتقال‌های مشکوک دارایی از هدرا به اتریوم را شناسایی کرد. کمی بعد، Bonzo منشأ حمله را تأیید کرد. در ساعت ۹:۳۶ شب قیمت صحیح توکن SAUCE از طریق اوراکل ثبت شد و پنج دقیقه بعد، بونزو استخر وام‌دهی خود را متوقف کرد.

این حمله، سال پرحادثه بازار رمزارزها را سنگین‌تر کرد. بر اساس گزارش Immunefi، پروژه‌های کریپتویی تنها در نیمه نخست سال ۲۰۲۶، طی رکورد ۲۰۷ حمله، حدود ۹۷۲ میلیون دلار خسارت دیده‌اند.

این حادثه همچنین نشان می‌دهد که حملات سایبری در صنعت کریپتو بیش از گذشته به سمت زیرساخت‌ها، سرقت یا سوءاستفاده از کلیدهای خصوصی و ضعف در دسترسی‌های ویژه حرکت کرده‌اند؛ نه صرفاً نقص در قراردادهای هوشمند اصلی پروژه‌ها.