InícioDeFiFalha em oráculo drena US$ 9 mi de protocolo DeFi na Hedera

Falha em oráculo drena US$ 9 mi de protocolo DeFi na Hedera

-

Uma assinatura zerada em um oráculo de preços foi o vetor de um dos exploits mais sofisticados já registrados em protocolos DeFi sobre a rede Hedera, resultando em perdas de aproximadamente US$ 9,05 milhões.

O protocolo Bonzo Lend, plataforma de empréstimos descentralizados construída sobre a rede Hedera, foi alvo de um exploit que expôs uma falha crítica em seu sistema de oráculo de preços. Segundo análise publicada pela CryptoSlate, o atacante explorou uma vulnerabilidade na validação de assinaturas do oráculo — enviando uma assinatura composta inteiramente de zeros — para manipular o valor reportado de um ativo e contrair empréstimos muito acima do que o colateral real poderia suportar.

Na prática, 250 tokens SAUCE — ativos de liquidez da rede Hedera com valor de mercado reduzido — foram apresentados como garantia. Com o oráculo adulterado aceitando entradas de identidade como prova legítima de preço, o sistema calculou esse colateral como suficiente para liberar US$ 9,05 milhões em principal. O contrato inteligente, incapaz de distinguir o dado forjado do legítimo, processou as operações normalmente.

Leia tambem: o que e DeFi e como funciona.

Como a assinatura zerada enganou o protocolo

Oráculos são componentes externos que alimentam contratos inteligentes com dados do mundo real — como preços de ativos. No caso do Bonzo Lend, o sistema deveria verificar criptograficamente a autenticidade de cada dado de preço antes de utilizá-lo como referência para operações de crédito.

O ponto de falha estava na lógica de verificação da assinatura. Ao receber uma assinatura zerada — ou seja, um vetor de bytes nulos onde deveria haver uma prova criptográfica válida — o verificador do protocolo não rejeitou a entrada. Em vez disso, tratou os próprios dados de identidade submetidos pelo atacante como evidência suficiente de legitimidade, aprovando o preço manipulado do token SAUCE.

📌 O que diz a fonte

Segundo a CryptoSlate, o verificador do oráculo aceitou entradas de identidade como prova, permitindo que 250 tokens SAUCE suportassem US$ 9,05 milhões em principal de empréstimos. A publicação descreve o ataque como uma exploração direta da lógica de validação criptográfica do protocolo, sem necessidade de flash loans ou ataques de múltiplos blocos.

Pontos críticos do exploit

🔐 Assinatura zerada

O atacante enviou uma assinatura composta de zeros ao verificador do oráculo, que deveria rejeitá-la mas a aceitou como válida.

💰 Colateral irrisório

Apenas 250 tokens SAUCE foram usados como garantia para suportar mais de 9 milhões de dólares em empréstimos.

⛓️ Rede Hedera

O ataque ocorreu sobre a Hedera Hashgraph, rede que se posiciona como alternativa ao Ethereum com foco em velocidade e baixas taxas.

🧩 Sem flash loans

Diferente de outros exploits DeFi, o ataque ao Bonzo Lend não exigiu empréstimos relâmpago — apenas a exploração direta da lógica de validação.

O episódio reacende o debate sobre a segurança de oráculos em protocolos DeFi. Falhas nesse componente específico já foram responsáveis por uma série de perdas expressivas no setor ao longo dos últimos anos. A questão central não é apenas a escolha do oráculo, mas a robustez da lógica que valida os dados recebidos antes de qualquer operação financeira ser executada.

Até o momento da publicação desta reportagem, o Bonzo Lend não havia divulgado um relatório público detalhado sobre o incidente, incluindo informações sobre possíveis medidas de ressarcimento a usuários afetados ou ajustes no protocolo. O KriptoHoje acompanha o caso e atualizará a cobertura conforme novas informações forem disponibilizadas pelas partes envolvidas.

📋 Nota editorial

A análise técnica do exploit foi originalmente publicada pela CryptoSlate. O KriptoHoje reescreveu e contextualizou o conteúdo para o leitor brasileiro, sem reprodução literal da fonte. Para a análise técnica completa em inglês, consulte o artigo original em cryptoslate.com.

Importante: não damos recomendação de investimento

Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.

Proteja seus ativos com uma hardware wallet

A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.

Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.

Conheça as Hardware Wallets

Leituras relacionadas

Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.

ULTIMAS NOTÍCIAS

Exploit de US$ 6 mi encerra operações da Summer.fi

Um exploit de US$ 6,04 milhões contra o Lazy Summer Protocol forçou a Summer.fi a encerrar suas operações após cinco anos. A plataforma ficará ativa até 31 de agosto de 2025.

Dupla da Califórnia é indiciada por lavar cripto do tráfico

Dupla da Califórnia é acusada de despachar mais de 500 encomendas de fentanil pela darknet e lavar os lucros em criptomoedas ao longo de sete meses.

Cardano vive semana decisiva com upgrade e crise DRep

Cardano concentra atenções com o avanço do upgrade Van Rossem, ruídos com a SBI e um impasse na governança descentralizada via DReps.

CFDs Perpétuos: a nova era dos mercados regulados

Os CFDs perpétuos prometem unir a flexibilidade do mercado cripto com a segurança da regulação tradicional. Entenda o que está mudando nos mercados globais.

SIGA A GENTE

0FãsCurtir
0SeguidoresSeguir
0SeguidoresSeguir
0InscritosInscrever

MAIS POPULAR