InicioZ - Banner Home espExplotación de Bonzo Lending borra 9 millones de dólares: Hedera pierde el...

Explotación de Bonzo Lending borra 9 millones de dólares: Hedera pierde el 40 % de su TVL en 24 horas

Un fallo en un oráculo de precios le acaba de costar a el protocolo de préstamos más grande de Hedera más de 9 millones de dólares, y estuvo oculto todo el tiempo dentro de un contrato de verificación de firmas. El exploit de préstamos de Bonzo ha sacudido el ecosistema DeFi de Hedera, eliminando una parte significativa del valor total bloqueado de la red y planteando incómodas preguntas sobre cómo los protocolos descentralizados evalúan las fuentes de datos externas de las que dependen.

Puntos clave

  • Bonzo Lend perdió aproximadamente 9,05 millones de dólares después de que un atacante explotara un fallo en un contrato de oráculo Supra de terceros en Hedera.
  • El atacante manipuló los precios del token SAUCE enviando una actualización de precios fraudulenta y luego pidió prestados activos que superaban ampliamente el valor de su garantía depositada.
  • El valor total bloqueado de Hedera cayó casi un 40% en 24 horas, mientras que el propio TVL de Bonzo se desplomó un 77%.
  • El protocolo Bonzo ha sido pausado tras el exploit para evitar más pérdidas.
  • Bonzo Labs y la Bonzo Finance Foundation están coordinando activamente los esfuerzos de recuperación y remediación.

El exploit del oráculo provoca una pérdida de 9,05 millones de dólares para Bonzo Lend

Bonzo Lend, un protocolo de préstamos descentralizado que opera en la red Hedera, reveló una pérdida de aproximadamente 9,05 millones de dólares después de que un atacante encontrara y explotara un fallo crítico en un contrato de oráculo Supra de terceros. El ataque no fue una brecha por fuerza bruta: fue una manipulación precisa de los datos de precios en los que se basaba la lógica de préstamos de Bonzo para evaluar los valores de la garantía.

Según los detalles que han surgido, el atacante depositó 250 tokens SAUCE, activos con un valor relativamente bajo, y luego envió una actualización de precios manipulada que infló drásticamente el valor de esos tokens denominado en HBAR. Con una garantía artificialmente elevada en los registros, el atacante procedió a pedir prestados activos que superaban ampliamente lo que valía realmente su depósito. Cuando se detectó la manipulación, el daño ya estaba hecho.

Las consecuencias financieras se extendieron mucho más allá de Bonzo. El valor total bloqueado de Hedera cayó casi un 40% en las 24 horas posteriores a que el exploit se hiciera público. El propio TVL de Bonzo sufrió un golpe aún mayor, cayendo un 77%, una cifra que ilustra hasta qué punto una sola vulnerabilidad en un oráculo puede dejar expuesta a toda la base de depositantes de un protocolo.

Por qué los ataques a oráculos son tan devastadores para los protocolos de préstamos

Los oráculos de precios se encuentran en el corazón de cada plataforma de préstamos descentralizada. Indican al protocolo cuánto vale un activo determinado, lo que determina cuánto puede pedir prestado un usuario contra su garantía. Cuando ese flujo de precios se corrompe, incluso momentáneamente, todo el mecanismo de seguridad se desmorona. En este caso, el atacante no necesitó vulnerar el propio código de Bonzo. Solo necesitó suministrarle datos erróneos, y la lógica del protocolo hizo el resto.

Esto es lo que hace que los exploits de oráculos sean particularmente difíciles de defender. La vulnerabilidad no estaba dentro de los propios contratos inteligentes de Bonzo, sino en el proceso de verificación de firmas del oráculo Supra, una dependencia de terceros en la que el mecanismo de préstamos de Bonzo confiaba implícitamente. Para los usuarios que habían depositado fondos en el protocolo, esa confianza resultó ser el eslabón más débil.

Causa técnica: fallo en la verificación de firmas de Supra

La causa raíz del ataque se remonta a un fallo en la forma en que el contrato de oráculo de Supra verificaba las firmas de las actualizaciones de precios. La verificación de firmas es el mecanismo que se supone debe confirmar que una actualización de precios es auténtica antes de que el protocolo la acepte y actúe en consecuencia. Cuando esa comprobación falla o puede ser eludida, un atacante obtiene la capacidad de introducir datos de precios arbitrarios en un protocolo que no tiene motivos para dudar de ellos.

Cómo el fallo en la verificación de firmas permitió el ataque

En este caso, el fallo permitió al atacante enviar una actualización de precios manipulada para los tokens SAUCE sin que el proceso de verificación la detectara. Una vez que se aceptó el precio falso, la garantía de bajo valor del atacante fue tratada como si valiera mucho más. El mecanismo de préstamos desbloqueó entonces retiradas de activos que la garantía real nunca habría podido respaldar.

La elegancia —si es que puede llamarse así— del ataque residía en su simplicidad. No fue necesario ningún exploit sofisticado a nivel de contrato. El atacante solo necesitó comprender la debilidad en la verificación de firmas del oráculo y construir una transacción que se aprovechara de ella. Ese tipo de vulnerabilidad, situada en una capa de infraestructura de la que dependen muchos protocolos, tiene implicaciones que van mucho más allá de Bonzo.

Respuesta del protocolo Bonzo y coordinación de la recuperación

Suspensión del protocolo para evitar más pérdidas

En las secuelas inmediatas del exploit, el protocolo Bonzo fue pausado. Detener las operaciones es una respuesta de emergencia estándar en DeFi: detiene la hemorragia al impedir nuevos préstamos, retiradas o interacciones que puedan agravar las pérdidas mientras el equipo investiga. Para los usuarios con fondos aún en el protocolo, la pausa significa que sus activos quedan congelados hasta que los esfuerzos de recuperación ofrezcan un camino más claro a seguir.

Coordinación entre Bonzo Labs y Bonzo Finance Foundation

Tanto Bonzo Labs como la Bonzo Finance Foundation han confirmado que están trabajando activamente en la recuperación y la remediación. La respuesta de estas dos entidades indica que el esfuerzo implica tanto al equipo técnico como a la estructura de gobernanza más amplia del proyecto, lo que puede ser relevante a medida que se tomen decisiones sobre cómo —y si— los usuarios afectados pueden ser compensados.

Cómo será esa recuperación en la práctica sigue siendo una cuestión abierta. La magnitud de la pérdida —9,05 millones de dólares frente a lo que parece ser un TVL drásticamente reducido— deja al protocolo en una posición estructuralmente difícil. La recuperación en exploits DeFi de este tamaño suele implicar alguna combinación de fondos de la tesorería interna, negociaciones con terceros o planes de compensación que pueden tardar semanas o meses en concretarse. El grado en que Bonzo pueda restaurar la confianza de los usuarios dependerá en gran medida de la transparencia y la rapidez de ese proceso.

Para el ecosistema DeFi más amplio de Hedera, el episodio es un recordatorio contundente de que la seguridad de los oráculos no es una preocupación periférica: es infraestructura fundamental. Un solo flujo de precios comprometido, en un único contrato de terceros, fue suficiente para drenar el protocolo de préstamos más grande de Hedera y sacudir la confianza en toda la red en cuestión de horas.

Preguntas frecuentes

¿Qué causó el exploit del protocolo Bonzo Lend?

Un fallo en la verificación de firmas del contrato de oráculo Supra permitió a los atacantes manipular los precios del token SAUCE, suministrando datos de precios fraudulentos al protocolo de préstamos de Bonzo.

¿Cuánto perdió Bonzo Lend debido al exploit?

Bonzo Lend perdió aproximadamente 9,05 millones de dólares en el exploit del oráculo.

¿Qué acciones tomó Bonzo Lend después del exploit?

El protocolo Bonzo fue pausado para evitar más pérdidas, y tanto Bonzo Labs como la Bonzo Finance Foundation están coordinando los esfuerzos de recuperación y remediación.

¿Cómo se benefició el atacante del exploit del oráculo?

El atacante depositó 250 tokens SAUCE de bajo valor y envió una actualización de precios manipulada que infló su valor, luego utilizó esa garantía artificialmente inflada para pedir prestados activos que superaban ampliamente lo que valía realmente su depósito.

{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»¿Qué causó el exploit del protocolo Bonzo Lend?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Un fallo en la verificación de firmas del contrato de oráculo Supra permitió a los atacantes manipular los precios del token SAUCE, suministrando datos de precios fraudulentos al protocolo de préstamos de Bonzo.»}},{«@type»:»Question»,»name»:»¿Cuánto perdió Bonzo Lend debido al exploit?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Bonzo Lend perdió aproximadamente 9,05 millones de dólares en el exploit del oráculo.»}},{«@type»:»Question»,»name»:»¿Qué acciones tomó Bonzo Lend después del exploit?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»El protocolo Bonzo fue pausado para evitar más pérdidas, y tanto Bonzo Labs como la Bonzo Finance Foundation están coordinando los esfuerzos de recuperación y remediación.»}},{«@type»:»Question»,»name»:»¿Cómo se benefició el atacante del exploit del oráculo?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»El atacante depositó 250 tokens SAUCE de bajo valor y envió una actualización de precios manipulada que infló su valor, luego utilizó esa garantía artificialmente inflada para pedir prestados activos que superaban ampliamente lo que valía realmente su depósito.»}}]}

Artículo producido con la ayuda de inteligencia artificial y revisado por el equipo editorial.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST