Hedera ağı üzerinde çalışan kredi protokolü Bonzo Lend, bir saldırganın teminat olarak kullanılan SAUCE token’ının fiyatını manipüle etmesi sonucu yaklaşık 9 milyon dolar kaybetti. Saldırgan, düşük değerli SAUCE token’ını şişirilmiş bir fiyatla göstererek yatırdığı teminatın çok üzerinde varlık borçlanabildi.
Cumartesi günü yayımlanan ön inceleme raporunda Bonzo, saldırganın yalnızca birkaç dolar değerinde 250 SAUCE yatırdıktan sonra token’ın fiyatını yaklaşık 12 basamak artıran bir fiyat güncellemesi sunduğunu açıkladı. Bu manipülasyonun ardından saldırgan cüzdan, kredi havuzundan 6,63 milyon USDC ve 34,5 milyon wrapped HBAR çekti.
Olay, oracle kaynaklı hataların düşük değerli teminatların büyük miktarda likiditeyi kredi protokollerinden çekmek için nasıl kullanılabileceğini gösteriyor. Uygulama ve altyapı sorunsuz çalışmaya devam etse de, oracle hataları ciddi riskler yaratabiliyor.
Bonzo, olayın Supra’nın zincir üstü oracle doğrulayıcısındaki bir açıktan kaynaklandığını belirtti. Söz konusu doğrulayıcı, sıfırlanmış imzaya sahip manipüle edilmiş SAUCE fiyatını kabul etti. Protokol, Supra’nın sorunu kabul edip bir düzeltme yayımladığını, olayın Bonzo Lend’in akıllı sözleşmelerinde veya Hedera’nın ana ağında bir güvenlik açığı olmadığını vurguladı.
DeFi Saldırıları Sektörde Baskı Yaratıyor
Bu olay, merkeziyetsiz finans (DeFi) protokollerini hedef alan saldırıların 2026 yılında artış gösterdiği bir dönemde yaşandı.
İkinci çeyrek, 83 saldırı ve yaklaşık 755 milyon dolarlık kayıpla şimdiye kadarki en fazla saldırının yaşandığı dönem oldu. Zincirler arası köprü saldırıları 351 milyon dolarlık kayba yol açarken, ele geçirilen yönetici hesapları ve sahte token fiyat manipülasyonları çeyreklik kayıpların %37’sini oluşturdu.
2026 yılında merkeziyetsiz finansın toplam kilitli değeri (TVL), ocak ayında yaklaşık 115 milyar dolardan haziran ayında 70 milyar doların üzerine gerileyerek -%39 düşüş kaydetti. CryptoRank verilerine göre, bu dönemde 121 saldırı gerçekleşti ve yaklaşık 942 milyon dolar kayıp yaşandı. Tekrarlanan güvenlik olaylarının kullanıcı güvenini zedelediği ve sermaye çıkışlarını hızlandırdığı belirtiliyor.
Bonzo’daki bu olay, kısa süre önce Stellar ekosisteminde yaşanan benzer bir teminat fiyat manipülasyonu saldırısının ardından geldi. Şubat ayında, saldırganlar USTRY teminatının değerlemesinde kullanılan fiyat yolunu manipüle ederek YieldBlox DAO tarafından yönetilen kredi havuzundan yaklaşık 10 milyon dolar çekmişti.
Bu içerik hazırlanırken faydalanılan kaynaklar: cointelegraph.com