零值预言机签名漏洞导致Bonzo Lend遭攻击,损失900万美元
据报道,一个零值预言机签名(zeroed oracle signature)使攻击者成功从基于Hedera网络的去中心化借贷协议Bonzo Lend中盗取约900万美元,暴露出该平台在价格馈送验证机制中的关键漏洞。
零值预言机签名如何解锁资金
此次攻击的核心在于Bonzo Lend验证预言机签名的方式存在缺陷。预言机签名是一种加密校验机制,用于确保价格馈送数据来自可信来源。根据Bonzo Finance发布的事故报告,攻击者能够通过传入一个零值来绕过预言机提供商的签名验证,从而使经过篡改的价格数据畅通无阻地通过验证。
当伪造的价格馈送数据被当作合法数据接受后,攻击者得以利用虚增的抵押物价值进行借贷。在问题被识别之前,攻击者已从协议的资金池中盗走约900万美元。此机制之所以引人注目,是因为它无需借助闪电贷或复杂的多步骤套利操作。签名验证环节的单一故障点便足以让资金被窃取,后续对失踪资金的调查报告也证实了这一损失规模。
Bonzo Lend在Hedera上发生了什么
Bonzo Lend是一个在Hedera网络上运行的借贷协议,而Hedera是一个DeFi生态系统规模较小但正在增长的网络。该协议允许用户存入资产并获取收益,同时借款人可以利用已抵押的资产进行杠杆操作。
此次900万美元的损失对Hedera的DeFi板块造成了重大打击。对于一个仍在积累流动性和用户信任的网络而言,如此规模的漏洞事件可能对存款人的信心以及跨链的锁仓总量产生不成比例的影响。
Bonzo Finance的事后分析报告将根本原因归咎于预言机提供商层面,而非Bonzo Lend的核心智能合约逻辑。这一区分对于协议及其用户评估后续发展方向具有重要意义,并且与DeFi领域其他安全事件中出现的模式——包括行业中平台层面的运营中断——具有相似之处。
Bonzo Lend漏洞事件对DeFi安全的意义
此次事件再次表明,预言机基础设施是去中心化金融中最敏感的攻击面之一。价格预言机负责将链下数据桥接到链上合约,而任何数据认证环节的薄弱点都可能被利用,从而操纵借贷、清算和抵押物计算等环节。
零值签名攻击向量之所以值得关注,在于其简单性。攻击者并未利用复杂的经济逻辑或治理机制,而是瞄准了一个基础的加密校验环节。这表明漏洞可能是在预言机提供商与借贷协议的集成层引入的。
所有区块链网络上的DeFi协议都依赖于类似的预言机架构。此次事件是一个具体的警示:价格馈送的签名验证应当获得与智能合约审计同等的重视,尤其是在那些成熟市场基础设施尚不完善的新兴生态系统中。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种