Uma assinatura zerada em um oráculo de preços foi o vetor de um dos exploits mais sofisticados já registrados em protocolos DeFi sobre a rede Hedera, resultando em perdas de aproximadamente US$ 9,05 milhões.
O protocolo Bonzo Lend, plataforma de empréstimos descentralizados construída sobre a rede Hedera, foi alvo de um exploit que expôs uma falha crítica em seu sistema de oráculo de preços. Segundo análise publicada pela CryptoSlate, o atacante explorou uma vulnerabilidade na validação de assinaturas do oráculo — enviando uma assinatura composta inteiramente de zeros — para manipular o valor reportado de um ativo e contrair empréstimos muito acima do que o colateral real poderia suportar.
Na prática, 250 tokens SAUCE — ativos de liquidez da rede Hedera com valor de mercado reduzido — foram apresentados como garantia. Com o oráculo adulterado aceitando entradas de identidade como prova legítima de preço, o sistema calculou esse colateral como suficiente para liberar US$ 9,05 milhões em principal. O contrato inteligente, incapaz de distinguir o dado forjado do legítimo, processou as operações normalmente.
Leia tambem: o que e DeFi e como funciona.
Como a assinatura zerada enganou o protocolo
Oráculos são componentes externos que alimentam contratos inteligentes com dados do mundo real — como preços de ativos. No caso do Bonzo Lend, o sistema deveria verificar criptograficamente a autenticidade de cada dado de preço antes de utilizá-lo como referência para operações de crédito.
O ponto de falha estava na lógica de verificação da assinatura. Ao receber uma assinatura zerada — ou seja, um vetor de bytes nulos onde deveria haver uma prova criptográfica válida — o verificador do protocolo não rejeitou a entrada. Em vez disso, tratou os próprios dados de identidade submetidos pelo atacante como evidência suficiente de legitimidade, aprovando o preço manipulado do token SAUCE.
📌 O que diz a fonte
Segundo a CryptoSlate, o verificador do oráculo aceitou entradas de identidade como prova, permitindo que 250 tokens SAUCE suportassem US$ 9,05 milhões em principal de empréstimos. A publicação descreve o ataque como uma exploração direta da lógica de validação criptográfica do protocolo, sem necessidade de flash loans ou ataques de múltiplos blocos.
Pontos críticos do exploit
O atacante enviou uma assinatura composta de zeros ao verificador do oráculo, que deveria rejeitá-la mas a aceitou como válida.
Apenas 250 tokens SAUCE foram usados como garantia para suportar mais de 9 milhões de dólares em empréstimos.
O ataque ocorreu sobre a Hedera Hashgraph, rede que se posiciona como alternativa ao Ethereum com foco em velocidade e baixas taxas.
Diferente de outros exploits DeFi, o ataque ao Bonzo Lend não exigiu empréstimos relâmpago — apenas a exploração direta da lógica de validação.
O episódio reacende o debate sobre a segurança de oráculos em protocolos DeFi. Falhas nesse componente específico já foram responsáveis por uma série de perdas expressivas no setor ao longo dos últimos anos. A questão central não é apenas a escolha do oráculo, mas a robustez da lógica que valida os dados recebidos antes de qualquer operação financeira ser executada.
Até o momento da publicação desta reportagem, o Bonzo Lend não havia divulgado um relatório público detalhado sobre o incidente, incluindo informações sobre possíveis medidas de ressarcimento a usuários afetados ou ajustes no protocolo. O KriptoHoje acompanha o caso e atualizará a cobertura conforme novas informações forem disponibilizadas pelas partes envolvidas.
📋 Nota editorial
A análise técnica do exploit foi originalmente publicada pela CryptoSlate. O KriptoHoje reescreveu e contextualizou o conteúdo para o leitor brasileiro, sem reprodução literal da fonte. Para a análise técnica completa em inglês, consulte o artigo original em cryptoslate.com.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Proteja seus ativos com uma hardware wallet
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Os maiores hacks DeFi da históriaUma linha do tempo dos exploits mais expressivos em protocolos de finanças descentralizadas e o que cada um revelou sobre vulnerabilidades do setor.
⛓️ O que é a rede Hedera (HBAR)?Conheça a Hedera Hashgraph, sua arquitetura diferenciada e o ecossistema DeFi que cresce sobre essa blockchain.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.
