تسبّب خلل في أوراكل الأسعار بخسارة أكبر بروتوكول إقراض على شبكة هيديرا لأكثر من 9 ملايين دولار — وكان هذا الخلل مختبئًا طوال الوقت داخل عقد للتحقق من التواقيع. لقد أرسل استغلال الإقراض في Bonzo صدمة عبر نظام DeFi على هيديرا، حيث محا جزءًا كبيرًا من إجمالي القيمة المقفلة على الشبكة وأثار أسئلة مزعجة حول كيفية قيام البروتوكولات اللامركزية بالتحقق من مصادر البيانات الخارجية التي تعتمد عليها.
Summary
أهم النقاط
- خسر Bonzo Lend ما يقرب من 9.05 ملايين دولار بعد أن استغل مهاجم خللًا في عقد أوراكل Supra تابع لجهة خارجية على شبكة هيديرا.
- قام المهاجم بالتلاعب في أسعار رمز SAUCE من خلال تقديم تحديث سعر احتيالي، ثم اقترض أصولًا تتجاوز بكثير قيمة الضمان الذي أودعه.
- انخفض إجمالي القيمة المقفلة على هيديرا بما يقرب من 40% خلال 24 ساعة، بينما هبطت القيمة المقفلة الخاصة بـ Bonzo بنسبة 77%.
- تم إيقاف بروتوكول Bonzo مؤقتًا بعد الاستغلال لمنع المزيد من الخسائر.
- Bonzo Labs ومؤسسة Bonzo Finance ينسّقان بنشاط جهود الاسترداد والمعالجة.
استغلال الأوراكل يؤدي إلى خسارة قدرها 9.05 ملايين دولار لـ Bonzo Lend
أعلن Bonzo Lend، وهو بروتوكول إقراض لامركزي يعمل على شبكة هيديرا، عن خسارة تقارب 9.05 ملايين دولار بعد أن عثر مهاجم على خلل حرج في عقد أوراكل Supra تابع لجهة خارجية واستغله. لم يكن الهجوم اختراقًا بالقوة الغاشمة — بل كان تلاعبًا دقيقًا في بيانات الأسعار التي تعتمد عليها خوارزمية الإقراض في Bonzo لتقييم قيم الضمانات.
وفقًا للتفاصيل التي ظهرت، أودع المهاجم 250 رمزًا من SAUCE — وهي أصول ذات قيمة منخفضة نسبيًا — ثم قدّم تحديث سعر متلاعبًا به رفع بشكل كبير القيمة المقومة بـ HBAR لتلك الرموز. ومع وجود ضمانات مسجّلة بقيمة مرتفعة بشكل مصطنع، تابع المهاجم لاقتراض أصول تتجاوز بكثير ما تساويه قيمة إيداعه الفعلية. وبحلول الوقت الذي تم فيه اكتشاف التلاعب، كانت الأضرار قد وقعت بالفعل.
امتدت التداعيات المالية إلى ما هو أبعد من Bonzo نفسه. فقد انخفض إجمالي القيمة المقفلة على هيديرا بما يقرب من 40% خلال 24 ساعة من الإعلان عن الاستغلال. وتعرّضت القيمة المقفلة الخاصة بـ Bonzo لضربة أشد، حيث هبطت بنسبة 77% — وهو رقم يوضح مدى تعرّض قاعدة المودعين في بروتوكول كامل لثغرة واحدة في أوراكل.
لماذا تُعد هجمات الأوراكل مدمّرة للغاية لبروتوكولات الإقراض؟
تقع أوراكل الأسعار في قلب كل منصة إقراض لامركزية. فهي تخبر البروتوكول بقيمة أي أصل، وهو ما يحدد مقدار ما يمكن للمقترض سحبه مقابل ضمانه. عندما تتعرض تغذية الأسعار للتلف — ولو للحظات — ينهار نظام الأمان بالكامل. في هذه الحالة، لم يكن على المهاجم اختراق كود Bonzo نفسه. كل ما احتاجه هو تزويده ببيانات خاطئة، وتكفلت منطقية البروتوكول بالباقي.
هذا ما يجعل استغلالات الأوراكل صعبة الدفاع بشكل خاص. لم تكن الثغرة داخل العقود الذكية الخاصة بـ Bonzo، بل في عملية التحقق من التواقيع في أوراكل Supra — وهو اعتماد على طرف ثالث وثق به نظام الإقراض في Bonzo ضمنيًا. بالنسبة للمستخدمين الذين أودعوا أموالهم في البروتوكول، تبيّن أن تلك الثقة كانت الحلقة الأضعف.
السبب التقني: خلل في التحقق من التواقيع لدى Supra
يعود السبب الجذري للهجوم إلى خلل في كيفية قيام عقد أوراكل Supra بالتحقق من تواقيع تحديثات الأسعار. يُفترض أن يكون التحقق من التواقيع هو الآلية التي تؤكد أن تحديث السعر أصيل قبل أن يقبله البروتوكول ويتصرف بناءً عليه. عندما يفشل هذا الفحص أو يمكن تجاوزه، يكتسب المهاجم القدرة على دفع بيانات أسعار عشوائية إلى بروتوكول لا يملك سببًا للشك فيها.
كيف مكّن خلل التحقق من التواقيع هذا الهجوم
في هذه الحالة، سمح الخلل للمهاجم بتقديم تحديث سعر متلاعب به لرموز SAUCE دون أن تلتقطه عملية التحقق. وبمجرد قبول السعر المزيف، تم التعامل مع الضمانات منخفضة القيمة الخاصة بالمهاجم كما لو كانت تساوي أكثر بكثير. بعد ذلك، أتاح له نظام الاقتراض سحب أصول لم يكن بإمكان الضمانات الحقيقية دعمها أبدًا.
كانت أناقة الهجوم — إن جاز التعبير — في بساطته. لم يكن هناك حاجة إلى استغلال معقد على مستوى العقد. كل ما احتاجه المهاجم هو فهم نقطة الضعف في آلية التحقق من التواقيع في الأوراكل وبناء معاملة تستفيد منها. مثل هذا النوع من الثغرات، عندما يكون موجودًا في طبقة البنية التحتية التي تعتمد عليها العديد من البروتوكولات، يحمل تبعات تتجاوز Bonzo وحده بكثير.
استجابة بروتوكول Bonzo وتنسيق جهود الاسترداد
إيقاف البروتوكول لمنع المزيد من الخسائر
في أعقاب الاستغلال مباشرة، تم إيقاف بروتوكول Bonzo مؤقتًا. إيقاف العمليات هو استجابة طارئة قياسية في DeFi — فهو يوقف النزيف من خلال منع أي عمليات اقتراض أو سحب أو تفاعلات أخرى يمكن أن تفاقم الخسائر بينما يجري الفريق التحقيق. بالنسبة للمستخدمين الذين لا تزال أموالهم في البروتوكول، يعني الإيقاف أن أصولهم مجمّدة في مكانها حتى تسفر جهود الاسترداد عن مسار أوضح للمضي قدمًا.
التنسيق بين Bonzo Labs ومؤسسة Bonzo Finance
أكد كل من Bonzo Labs ومؤسسة Bonzo Finance أنهما يعملان بنشاط على الاسترداد والمعالجة. يشير هذا الرد المزدوج الكيانات إلى أن الجهد يشمل كلًا من الفريق التقني والبنية الحوكمية الأوسع للمشروع، وهو ما قد يكون ذا صلة عند اتخاذ قرارات حول كيفية — وما إذا كان — يمكن تعويض المستخدمين المتضررين بالكامل.
ما سيبدو عليه هذا الاسترداد عمليًا لا يزال سؤالًا مفتوحًا. فحجم الخسارة — 9.05 ملايين دولار مقابل ما يبدو أنه انخفاض حاد في القيمة المقفلة — يضع البروتوكول في وضع هيكلي صعب. عادةً ما ينطوي الاسترداد في استغلالات DeFi بهذا الحجم على مزيج من أموال الخزينة الداخلية، ومفاوضات مع أطراف ثالثة، أو خطط تعويض قد تستغرق أسابيع أو أشهر لوضعها النهائي. سيعتمد مدى قدرة Bonzo على استعادة ثقة المستخدمين بشكل كبير على شفافية وسرعة هذه العملية.
بالنسبة لنظام DeFi الأوسع على هيديرا، تُعد هذه الحادثة تذكيرًا واضحًا بأن أمان الأوراكل ليس مسألة هامشية — بل هو بنية تحتية أساسية. فقد كان أوراكل أسعار واحدًا فقط، في عقد واحد تابع لجهة خارجية، كافيًا لاستنزاف أكبر بروتوكول إقراض على هيديرا وزعزعة الثقة في الشبكة بأكملها خلال ساعات.
الأسئلة الشائعة
ما الذي تسبب في استغلال بروتوكول Bonzo Lend؟
سمح خلل في التحقق من التواقيع في عقد أوراكل Supra للمهاجمين بالتلاعب بأسعار رمز SAUCE، ما أدى إلى تغذية بروتوكول الإقراض Bonzo ببيانات أسعار احتيالية.
كم خسر Bonzo Lend بسبب هذا الاستغلال؟
خسر Bonzo Lend ما يقرب من 9.05 ملايين دولار في استغلال الأوراكل.
ما الإجراءات التي اتخذها Bonzo Lend بعد الاستغلال؟
تم إيقاف بروتوكول Bonzo مؤقتًا لمنع المزيد من الخسائر، كما ينسّق كل من Bonzo Labs ومؤسسة Bonzo Finance جهود الاسترداد والمعالجة.
كيف استفاد المهاجم من استغلال الأوراكل؟
أودع المهاجم 250 رمز SAUCE منخفض القيمة وقدم تحديث سعر متلاعبًا به رفع قيمتها، ثم استخدم هذا الضمان المرتفع القيمة بشكل مصطنع لاقتراض أصول تتجاوز بكثير ما تساويه قيمة إيداعه الفعلية.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”ما الذي تسبب في استغلال بروتوكول Bonzo Lend؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”سمح خلل في التحقق من التواقيع في عقد أوراكل Supra للمهاجمين بالتلاعب بأسعار رمز SAUCE، ما أدى إلى تغذية بروتوكول الإقراض Bonzo ببيانات أسعار احتيالية.”}},{“@type”:”Question”,”name”:”كم خسر Bonzo Lend بسبب هذا الاستغلال؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”خسر Bonzo Lend ما يقرب من 9.05 ملايين دولار في استغلال الأوراكل.”}},{“@type”:”Question”,”name”:”ما الإجراءات التي اتخذها Bonzo Lend بعد الاستغلال؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”تم إيقاف بروتوكول Bonzo مؤقتًا لمنع المزيد من الخسائر، كما ينسّق كل من Bonzo Labs ومؤسسة Bonzo Finance جهود الاسترداد والمعالجة.”}},{“@type”:”Question”,”name”:”كيف استفاد المهاجم من استغلال الأوراكل؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”أودع المهاجم 250 رمز SAUCE منخفض القيمة وقدم تحديث سعر متلاعبًا به رفع قيمتها، ثم استخدم هذا الضمان المرتفع القيمة بشكل مصطنع لاقتراض أصول تتجاوز بكثير ما تساويه قيمة إيداعه الفعلية.”}}]}
تم إعداد هذه المقالة بمساعدة الذكاء الاصطناعي ومراجعتها من قبل الفريق التحريري.

