Um único feed de preço manipulado no oráculo Supra permitiu que um atacante convertesse 250 tokens SAUCE — valendo poucos dólares — em US$ 9,05 milhões em ativos emprestados do protocolo Bonzo Finance, na rede Hedera.
O protocolo de empréstimos descentralizados Bonzo Finance, construído sobre a rede Hedera, foi alvo de um exploit que resultou na perda de aproximadamente US$ 9,05 milhões em ativos dos usuários. O ataque, que durou apenas oito segundos, explorou uma vulnerabilidade no feed de preço fornecido pelo oráculo Supra, permitindo ao invasor inflar artificialmente o valor de uma posição colateral e sacar volumes muito superiores ao real.
Segundo a The Defiant, o atacante depositou 250 tokens SAUCE — cujo valor de mercado era de apenas alguns dólares — como garantia no protocolo. Com o preço do SAUCE artificialmente elevado pelo feed corrompido do Supra, o sistema de empréstimo entendeu que a posição era suficientemente colateralizada para liberar saques de grande monta. Em questão de segundos, o invasor drenava USDC e WHBAR (wrapped HBAR) dos pools de liquidez do Bonzo.
O incidente se soma a uma lista crescente de exploits em protocolos DeFi que dependem de oráculos externos para precificar ativos. Quando esses feeds são manipulados ou falham em refletir o preço real de mercado, as consequências podem ser devastadoras — especialmente em protocolos de empréstimo, onde o valor do colateral é a única salvaguarda contra o saque indevido de fundos.
Como o ataque funcionou em 8 segundos
O invasor depositou 250 tokens SAUCE como colateral no Bonzo Finance. O oráculo Supra reportou um preço inflado para o SAUCE, fazendo o protocolo avaliar a garantia em múltiplos do seu valor real. Com base nessa avaliação distorcida, o sistema liberou automaticamente saques de USDC e WHBAR que somaram US$ 9,05 milhões. Todo o processo ocorreu em aproximadamente oito segundos, antes que qualquer mecanismo de defesa pudesse ser acionado.
O papel dos oráculos e os riscos para o DeFi
Oráculos são serviços que alimentam contratos inteligentes com dados do mundo real — como preços de ativos. Eles são componentes críticos em qualquer protocolo DeFi, mas representam também um dos principais vetores de ataque. Quando um oráculo é comprometido ou manipulado, todo o protocolo que depende dele fica exposto.
O caso do Bonzo Finance evidencia a importância de mecanismos como múltiplas fontes de preço, limites de variação em curto prazo (circuit breakers) e auditorias contínuas dos feeds utilizados. A ausência de ao menos uma dessas camadas de proteção foi determinante para o sucesso do exploit.
Todo o exploit foi executado em aproximadamente 8 segundos, tornando impossível qualquer intervenção humana em tempo real.
US$ 9,05 milhões em USDC e WHBAR foram retirados dos pools de liquidez do Bonzo Finance com colateral de apenas alguns dólares.
A manipulação do feed de preço do oráculo Supra para o token SAUCE foi o ponto de entrada que tornou todo o ataque possível.
O protocolo Bonzo Finance opera sobre a rede Hedera, que utiliza o modelo de consenso Hashgraph — mas isso não foi suficiente para impedir o ataque na camada de aplicação.
📰 Fonte
As informações deste artigo são baseadas na reportagem original de The Defiant, publicada em thedefiant.io. O KriptoHoje reescreveu e contextualizou o conteúdo de forma independente.
Exploits desse tipo também ressaltam a importância de proteger os próprios ativos digitais com soluções de custódia segura. Ataques a protocolos DeFi raramente afetam quem mantém seus fundos em carteiras de hardware — mas para participantes de pools de liquidez, os riscos são reais e crescentes. Leia também: como a inteligência artificial está tornando golpes cripto quase perfeitos.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Seus ativos sob sua custódia, com segurança de verdade
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
⚠️ O que são oráculos em DeFi?Saiba como os feeds de preço externos funcionam nos protocolos descentralizados e quais riscos eles representam.
🛡️ Como proteger seus cripto de hacksDicas práticas de segurança para quem opera no ecossistema DeFi e quer reduzir a exposição a exploits.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.
