预言机签名漏洞致900万美金损失,Bonzo Lend遭重创

Bonzo Lend因预言机签名缺陷遭黑客盗取逾900万美元

近日,运行于Hedera网络的去中心化借贷平台Bonzo Lend遭遇严重安全事件,攻击者利用一个名为‘零值预言机签名’的漏洞,成功从协议资金池中提取约900万美元资产,凸显链上价格数据验证机制中的深层隐患。

伪造签名绕过校验,虚假价格数据被合法接纳

此次攻击的核心在于协议在处理预言机签名时存在逻辑盲区。预言机签名本用于确保链外价格信息的真实性与来源可信性,但据Bonzo Finance事后披露,攻击者通过构造特定零值输入,触发了验证流程中的异常分支,从而绕过了原本应执行的签名完整性检查。

这一技术缺陷使得恶意篡改的价格信息得以伪装成有效数据进入系统,进而被借贷引擎误判为真实抵押价值。攻击者随即利用虚高估值进行超额借款,并在未被察觉的情况下完成资金转移。整个过程无需依赖闪电贷或跨协议套利,仅凭单一验证节点的失效即达成目标,暴露出系统级安全设计的脆弱性。

Hedera生态中的借贷协议遭遇重大信任危机

Bonzo Lend作为Hedera生态系统内的重要借贷基础设施,允许用户存入资产获取收益,也支持借款人以加密资产作为担保进行杠杆融资。该平台的运营表现直接影响着该网络的流动性水平与用户信心。

此次巨额资金流失不仅造成直接财务损失,更对尚处于发展初期的Hedera DeFi生态构成严重打击。对于一个亟需建立用户信任与资本积累的网络而言,此类事件可能引发连锁反应,削弱外部资本注入意愿,影响跨链资产锁定规模的持续增长。

事故调查明确指出,问题根源源于预言机服务提供商的集成接口设计,而非协议核心代码本身。这一结论有助于厘清责任边界,也为后续修复路径提供方向,同时反映出当前去中心化金融体系中“外围依赖”环节的安全短板正日益突出。

预言机安全成DeFi系统最脆弱环节之一

该事件再次揭示,价格预言机作为连接链下世界与链上智能合约的关键桥梁,已成为攻击者最青睐的目标之一。一旦其数据认证机制被攻破,将直接干扰抵押率计算、清算阈值判断及借贷利率设定等核心功能。

零值签名攻击之所以具备高度威胁性,在于其攻击路径极简——不依赖复杂的经济模型或治理操控,而是针对加密校验流程中的基础逻辑错误。这表明漏洞可能存在于协议与预言机服务商之间的交互层,而非单点组件自身。

所有采用类似架构的区块链项目均面临相同风险。此案例警示行业:对价格馈送机制的签名验证必须接受与智能合约同等强度的安全审查,尤其在那些基础设施尚未成熟的新兴公链生态中,更需强化端到端的数据可信保障体系。