Une faille dans un oracle de prix vient de coûter plus de 9 millions de dollars au plus grand protocole de prêt d’Hedera — et elle se cachait tout ce temps dans un contrat de vérification de signature. L’exploitation de Bonzo Lend a provoqué une onde de choc dans l’écosystème DeFi d’Hedera, effaçant une part significative de la valeur totale verrouillée du réseau et soulevant des questions inconfortables sur la manière dont les protocoles décentralisés évaluent les flux de données externes dont ils dépendent.
Summary
Points clés à retenir
- Bonzo Lend a perdu environ 9,05 millions de dollars après qu’un attaquant a exploité une faille dans un contrat d’oracle Supra tiers sur Hedera.
- L’attaquant a manipulé les prix du jeton SAUCE en soumettant une mise à jour de prix frauduleuse, puis a emprunté des actifs largement supérieurs à la valeur de son collatéral déposé.
- La valeur totale verrouillée d’Hedera a chuté de près de 40 % en 24 heures, tandis que la TVL de Bonzo elle-même s’est effondrée de 77 %.
- Le protocole Bonzo a été mis en pause après l’exploit afin de prévenir de nouvelles pertes.
- Bonzo Labs et la Bonzo Finance Foundation coordonnent activement les efforts de récupération et de remédiation.
L’exploit de l’oracle entraîne une perte de 9,05 millions de dollars pour Bonzo Lend
Bonzo Lend, un protocole de prêt décentralisé opérant sur le réseau Hedera, a révélé une perte d’environ 9,05 millions de dollars après qu’un attaquant a découvert et exploité une faille critique dans un contrat d’oracle Supra tiers. L’attaque n’était pas une intrusion par force brute — c’était une manipulation précise des données de prix sur lesquelles la logique de prêt de Bonzo s’appuyait pour évaluer la valeur des collatéraux.
Selon les détails qui ont émergé, l’attaquant a déposé 250 jetons SAUCE — des actifs de valeur relativement faible — puis a soumis une mise à jour de prix manipulée qui a considérablement gonflé la valeur de ces jetons libellée en HBAR. Avec un collatéral artificiellement surévalué dans les registres, l’attaquant a ensuite emprunté des actifs largement supérieurs à ce que son dépôt réel valait. Au moment où la manipulation a été détectée, les dégâts étaient déjà faits.
Les répercussions financières se sont étendues bien au-delà de Bonzo lui-même. La valeur totale verrouillée d’Hedera a chuté de près de 40 % en l’espace de 24 heures après que l’exploit est devenu public. La TVL de Bonzo a subi un choc encore plus violent, chutant de 77 % — un chiffre qui illustre à quel point une seule vulnérabilité d’oracle peut exposer l’ensemble de la base de déposants d’un protocole.
Pourquoi les attaques sur les oracles sont si dévastatrices pour les protocoles de prêt
Les oracles de prix sont au cœur de chaque plateforme de prêt décentralisée. Ils indiquent au protocole ce que vaut un actif donné, ce qui détermine combien un emprunteur peut retirer contre son collatéral. Lorsque ce flux de prix est corrompu — même momentanément — tout le mécanisme de sécurité s’effondre. Dans ce cas, l’attaquant n’avait pas besoin de casser le code propre à Bonzo. Il lui suffisait de lui fournir de mauvaises données, et la logique du protocole a fait le reste.
C’est ce qui rend les exploits d’oracle particulièrement difficiles à contrer. La vulnérabilité ne se trouvait pas dans les propres contrats intelligents de Bonzo, mais dans le processus de vérification de signature de l’oracle Supra — une dépendance tierce à laquelle le mécanisme de prêt de Bonzo faisait une confiance implicite. Pour les utilisateurs qui avaient déposé des fonds dans le protocole, cette confiance s’est révélée être le maillon le plus faible.
Cause technique : faille dans la vérification de signature de Supra
La cause profonde de l’attaque remonte à une faille dans la manière dont le contrat d’oracle de Supra vérifiait les signatures des mises à jour de prix. La vérification de signature est le mécanisme censé confirmer qu’une mise à jour de prix est authentique avant que le protocole ne l’accepte et n’agisse en conséquence. Lorsque ce contrôle échoue ou peut être contourné, un attaquant obtient la capacité d’injecter des données de prix arbitraires dans un protocole qui n’a aucune raison d’en douter.
Comment la faille de vérification de signature a permis l’attaque
Dans ce cas, la faille a permis à l’attaquant de soumettre une mise à jour de prix manipulée pour les jetons SAUCE sans que le processus de vérification ne la détecte. Une fois le faux prix accepté, le collatéral de faible valeur de l’attaquant a été traité comme s’il valait beaucoup plus. Le mécanisme d’emprunt a alors débloqué des retraits d’actifs que le collatéral réel n’aurait jamais pu soutenir.
L’élégance — si l’on peut dire — de l’attaque résidait dans sa simplicité. Aucun exploit sophistiqué au niveau des contrats n’était nécessaire. L’attaquant devait seulement comprendre la faiblesse de la vérification de signature de l’oracle et construire une transaction qui en tirait parti. Ce type de vulnérabilité, nichée dans une couche d’infrastructure sur laquelle de nombreux protocoles s’appuient, a des implications qui vont bien au-delà de Bonzo seul.
Réponse du protocole Bonzo et coordination de la récupération
Suspension du protocole pour prévenir de nouvelles pertes
Dans l’immédiat après l’exploit, le protocole Bonzo a été mis en pause. L’arrêt des opérations est une réponse d’urgence standard en DeFi — il stoppe l’hémorragie en empêchant tout nouvel emprunt, retrait ou interaction susceptible d’aggraver les pertes pendant que l’équipe enquête. Pour les utilisateurs dont les fonds sont toujours dans le protocole, cette pause signifie que leurs actifs sont gelés jusqu’à ce que les efforts de récupération offrent une voie à suivre plus claire.
Coordination entre Bonzo Labs et Bonzo Finance Foundation
Bonzo Labs et la Bonzo Finance Foundation ont tous deux confirmé qu’ils travaillent activement à la récupération et à la remédiation. La réponse conjointe des deux entités indique que l’effort implique à la fois l’équipe technique et la structure de gouvernance plus large du projet, ce qui peut être pertinent au moment de décider comment — et si — les utilisateurs affectés peuvent être entièrement indemnisés.
Ce à quoi ressemblera concrètement cette récupération reste une question ouverte. L’ampleur de la perte — 9,05 millions de dollars face à ce qui semble être une TVL fortement réduite — place le protocole dans une position structurellement difficile. La récupération après des exploits DeFi de cette taille implique généralement une combinaison de fonds de trésorerie internes, de négociations avec des tiers ou de plans de compensation qui peuvent prendre des semaines ou des mois à finaliser. La capacité de Bonzo à restaurer la confiance des utilisateurs dépendra fortement de la transparence et de la rapidité de ce processus.
Pour l’écosystème DeFi plus large d’Hedera, cet épisode rappelle de manière cinglante que la sécurité des oracles n’est pas une préoccupation périphérique — c’est une infrastructure fondamentale. Un seul flux de prix compromis, dans un seul contrat tiers, a suffi à vider le plus grand protocole de prêt d’Hedera et à ébranler la confiance dans l’ensemble du réseau en quelques heures.
FAQ
Qu’est-ce qui a causé l’exploit du protocole Bonzo Lend ?
Une faille dans la vérification de signature du contrat d’oracle Supra a permis aux attaquants de manipuler les prix du jeton SAUCE, fournissant des données de prix frauduleuses au protocole de prêt Bonzo.
Combien Bonzo Lend a-t-il perdu à cause de l’exploit ?
Bonzo Lend a perdu environ 9,05 millions de dollars lors de l’exploit de l’oracle.
Quelles mesures ont été prises par Bonzo Lend après l’exploit ?
Le protocole Bonzo a été mis en pause pour prévenir de nouvelles pertes, et Bonzo Labs ainsi que la Bonzo Finance Foundation coordonnent les efforts de récupération et de remédiation.
Comment l’attaquant a-t-il profité de l’exploit de l’oracle ?
L’attaquant a déposé 250 jetons SAUCE de faible valeur et a soumis une mise à jour de prix manipulée qui en a gonflé la valeur, puis a utilisé ce collatéral artificiellement surévalué pour emprunter des actifs largement supérieurs à ce que son dépôt réel valait.
{« @context »: »https://schema.org », »@type »: »FAQPage », »mainEntity »:[{« @type »: »Question », »name »: »Qu’est-ce qui a causé l’exploit du protocole Bonzo Lend ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Une faille dans la vérification de signature du contrat d’oracle Supra a permis aux attaquants de manipuler les prix du jeton SAUCE, fournissant des données de prix frauduleuses au protocole de prêt Bonzo. »}},{« @type »: »Question », »name »: »Combien Bonzo Lend a-t-il perdu à cause de l’exploit ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Bonzo Lend a perdu environ 9,05 millions de dollars lors de l’exploit de l’oracle. »}},{« @type »: »Question », »name »: »Quelles mesures ont été prises par Bonzo Lend après l’exploit ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »Le protocole Bonzo a été mis en pause pour prévenir de nouvelles pertes, et Bonzo Labs ainsi que la Bonzo Finance Foundation coordonnent les efforts de récupération et de remédiation. »}},{« @type »: »Question », »name »: »Comment l’attaquant a-t-il profité de l’exploit de l’oracle ? », »acceptedAnswer »:{« @type »: »Answer », »text »: »L’attaquant a déposé 250 jetons SAUCE de faible valeur et a soumis une mise à jour de prix manipulée qui en a gonflé la valeur, puis a utilisé ce collatéral artificiellement surévalué pour emprunter des actifs largement supérieurs à ce que son dépôt réel valait. »}}]}
Article produit avec l’assistance de l’intelligence artificielle et relu par l’équipe éditoriale.

