Ataque a Bonzo Lend: se pierden $9 millones por un hackeo del oráculo de precios

El protocolo DeFi Bonzo Lend, que opera en el ecosistema Hedera, fue víctima de un ataque sofisticado en el que el atacante extrajo activos por valor de aproximadamente 9 millones de dólares. La causa del incidente fue la compromisión de un oráculo de precios de terceros, no vulnerabilidades en los contratos inteligentes del propio protocolo.
Según mi análisis del informe de los desarrolladores de Bonzo Finance, el atacante depositó como garantía 250 tokens SAUCE, y luego manipuló el oráculo Supra, transmitiendo un precio falso del activo inflado aproximadamente un billón de veces. Esto permitió al atacante tomar prestados alrededor de 6,6 millones de USDC y 34,5 millones de wHBAR con una garantía real prácticamente nula. El error clave ocurrió precisamente en el sistema de verificación de precios del proveedor de oráculos Supra, no en el código de Bonzo Lend.
Tras detectar el ataque, Bonzo Lend suspendió inmediatamente el servicio de préstamos y el programa de acumulación de puntos. Los desarrolladores afirmaron que están colaborando con socios del ecosistema Hedera para analizar el incidente y preparar un plan de recuperación de activos. Curiosamente, una de las direcciones involucradas en la retirada de aproximadamente 1 millón de dólares durante la "ventana" de precio anómalo de SAUCE se identificó como un "hacker ético" e informó su intención de devolver los fondos.
Mi comentario: Este incidente resalta un problema fundamental de DeFi: la dependencia de oráculos de terceros. Incluso los contratos inteligentes más seguros pueden verse comprometidos mediante la manipulación de datos de entrada. En un contexto donde en la primera mitad del año los proyectos cripto perdieron alrededor de 972 millones de dólares en 207 incidentes, el ataque a Bonzo Lend es un recordatorio más de la necesidad de una protección multicapa de los feeds de precios. El mercado necesita oráculos descentralizados con mecanismos integrados de detección de anomalías; de lo contrario, este tipo de hackeos se repetirán.