上周末,Hedera 链上借贷协议 Bonzo Lend 因预言机故障遭攻击,损失约 900 万美元。而攻击发生前数日,开发该预言机的 Supra Network 已为其他 11 条链部署了补丁,但 Hedera 上的合约仍未修复。
Bonzo Lend 表示,攻击者利用预言机对其抵押品资产进行了极端错误定价,从而借出远超抵押品实际价值的资金。此外,一名白帽黑客额外提取了 100 万美元。
该漏洞预言机由区块链基础设施开发商 Supra Network 创建,该公司自称其预言机“已上线 67 条主网”。攻击发生后不久,Plasma 的 Usmann Khan 指出,Supra 在攻击前数日已升级了多项预言机部署,但 Bonzo Lend 所使用的 Hedera 合约未被更新。
Supra 在攻击发生约 12 小时后发布的事故报告中称该漏洞为“加密边缘情况”,并未提及已修复其他链的部署,仅表示“已审查所有共享此验证器模式的 Supra 预言机部署,确认已采取相同防护”。Supra 联合创始人兼 CEO Josh Tobkin 将发现归因于“AI 辅助黑客”,称其发现了“人类两年未察觉的问题”。
然而,HSuite 创始人 Tomachi Anura 分析了 Supra 的链上活动,发现该公司从 6 月 29 日(Base)到 7 月 3 日(Polygon)在 11 条链上进行了代理升级,而 Hedera 和 Fuse 的修复则在攻击之后。Anura 强调,尽管部分升级地址不同,但“每个已验证源码的合约都指向同一个 17,354 字符的受保护 SupraSValueFeedVerifier”。目前尚不清楚为何修复在 7 月 3 日停止,导致 Hedera 部署存在漏洞。
第三方预言机被众多 DeFi 项目用于资产定价或外部数据源。预言机操纵攻击常见于此类场景,通过抬高抵押品价值来耗尽 DeFi 借贷平台的可用流动性。近期几个月还有数起预言机漏洞导致共计 350 万美元损失的案例。例如,Moonwell 的“vibe-coded”预言机关键变更由 Claude 共同编写;Chaos Labs 的关联资产价格预言机则因时间戳错误在 Aave 的以太坊市场上引发 2700 万美元的误清算。
免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。