Uma falha em um oráculo de preços acabou de custar ao maior protocolo de empréstimos da Hedera mais de US$ 9 milhões — e ela estava escondida o tempo todo dentro de um contrato de verificação de assinatura. O exploit de empréstimo da Bonzo causou um abalo no ecossistema DeFi da Hedera, eliminando uma parte significativa do valor total bloqueado da rede e levantando questões desconfortáveis sobre como os protocolos descentralizados avaliam os feeds de dados externos dos quais dependem.
Summary
Principais pontos
- Bonzo Lend perdeu aproximadamente US$ 9,05 milhões depois que um invasor explorou uma falha em um contrato de oráculo Supra de terceiros na Hedera.
- O invasor manipulou os preços do token SAUCE ao enviar uma atualização de preço fraudulenta e, em seguida, tomou emprestados ativos muito acima do valor de seu colateral depositado.
- O valor total bloqueado da Hedera caiu em quase 40% em 24 horas, enquanto o próprio TVL da Bonzo despencou 77%.
- O protocolo Bonzo foi pausado após o exploit para evitar novas perdas.
- Bonzo Labs e a Bonzo Finance Foundation estão coordenando ativamente os esforços de recuperação e remediação.
Exploit no oráculo resulta em perda de US$ 9,05 milhões para a Bonzo Lend
Bonzo Lend, um protocolo de empréstimos descentralizado que opera na rede Hedera, revelou uma perda de aproximadamente US$ 9,05 milhões depois que um invasor encontrou e explorou uma falha crítica em um contrato de oráculo Supra de terceiros. O ataque não foi uma violação por força bruta — foi uma manipulação precisa dos dados de preço dos quais a lógica de empréstimos da Bonzo dependia para avaliar os valores de colateral.
De acordo com os detalhes que surgiram, o invasor depositou 250 tokens SAUCE — ativos com relativamente pouco valor — e então enviou uma atualização de preço manipulada que inflou dramaticamente o valor desses tokens denominado em HBAR. Com o colateral artificialmente elevado nos registros, o invasor passou a tomar emprestados ativos muito acima do que seu depósito real valia. Quando a manipulação foi detectada, o dano já estava feito.
O impacto financeiro se estendeu muito além da própria Bonzo. O valor total bloqueado da Hedera caiu em quase 40% em 24 horas após o exploit se tornar público. O próprio TVL da Bonzo sofreu um golpe ainda maior, caindo 77% — um número que ilustra o quão exposta uma única vulnerabilidade em oráculo pode deixar toda a base de depositantes de um protocolo.
Por que ataques a oráculos são tão devastadores para protocolos de empréstimo
Oráculos de preço estão no coração de toda plataforma de empréstimos descentralizada. Eles informam ao protocolo quanto vale qualquer ativo, o que determina quanto um tomador pode retirar contra seu colateral. Quando esse feed de preço é corrompido — mesmo que momentaneamente — todo o mecanismo de segurança entra em colapso. O invasor, neste caso, não precisou quebrar o próprio código da Bonzo. Ele só precisou fornecer dados ruins, e a lógica do protocolo fez o resto.
É isso que torna exploits em oráculos particularmente difíceis de defender. A vulnerabilidade não estava dentro dos próprios contratos inteligentes da Bonzo, mas no processo de verificação de assinatura do oráculo Supra — uma dependência de terceiros na qual o mecanismo de empréstimos da Bonzo confiava implicitamente. Para os usuários que haviam depositado fundos no protocolo, essa confiança acabou sendo o elo mais fraco.
Causa técnica: falha na verificação de assinatura da Supra
A causa raiz do ataque remonta a uma falha em como o contrato de oráculo da Supra verificava as assinaturas das atualizações de preço. A verificação de assinatura é o mecanismo que deve confirmar que uma atualização de preço é autêntica antes de o protocolo aceitá-la e agir com base nela. Quando essa verificação falha ou pode ser contornada, um invasor ganha a capacidade de inserir dados de preço arbitrários em um protocolo que não tem motivo para duvidar deles.
Como a falha na verificação de assinatura permitiu o ataque
Neste caso, a falha permitiu que o invasor enviasse uma atualização de preço manipulada para tokens SAUCE sem que o processo de verificação a detectasse. Uma vez que o preço falso foi aceito, o colateral de baixo valor do invasor passou a ser tratado como se valesse dramaticamente mais. O mecanismo de empréstimo então liberou retiradas de ativos que o colateral real jamais poderia ter suportado.
A elegância — se é que se pode chamar assim — do ataque estava em sua simplicidade. Não foi necessário nenhum exploit sofisticado em nível de contrato. O invasor só precisou entender a fraqueza na verificação de assinatura do oráculo e construir uma transação que se aproveitasse dela. Esse tipo de vulnerabilidade, localizada em uma camada de infraestrutura da qual muitos protocolos dependem, traz implicações que vão muito além da própria Bonzo.
Resposta do protocolo Bonzo e coordenação de recuperação
Suspensão do protocolo para evitar novas perdas
Imediatamente após o exploit, o protocolo Bonzo foi pausado. Interromper as operações é uma resposta de emergência padrão em DeFi — isso estanca o sangramento ao impedir novos empréstimos, retiradas ou interações que possam ampliar as perdas enquanto a equipe investiga. Para os usuários com fundos ainda no protocolo, a pausa significa que seus ativos ficam congelados até que os esforços de recuperação produzam um caminho mais claro adiante.
Coordenação entre Bonzo Labs e Bonzo Finance Foundation
Tanto a Bonzo Labs quanto a Bonzo Finance Foundation confirmaram que estão trabalhando ativamente na recuperação e remediação. A resposta de dupla entidade sinaliza que o esforço envolve tanto a equipe técnica quanto a estrutura de governança mais ampla do projeto, o que pode ser relevante à medida que são tomadas decisões sobre como — e se — os usuários afetados poderão ser ressarcidos.
O que essa recuperação representa na prática ainda é uma questão em aberto. A escala da perda — US$ 9,05 milhões em comparação com o que parece ter sido um TVL dramaticamente reduzido — deixa o protocolo em uma posição estruturalmente difícil. A recuperação em exploits DeFi desse porte normalmente envolve alguma combinação de fundos do tesouro interno, negociações com terceiros ou planos de compensação que podem levar semanas ou meses para serem finalizados. O grau em que a Bonzo conseguirá restaurar a confiança dos usuários dependerá fortemente da transparência e da rapidez desse processo.
Para o ecossistema DeFi mais amplo da Hedera, o episódio é um lembrete contundente de que a segurança de oráculos não é uma preocupação periférica — é infraestrutura fundamental. Um único feed de preço comprometido, em um único contrato de terceiros, foi suficiente para drenar o maior protocolo de empréstimos da Hedera e abalar a confiança em toda a rede em questão de horas.
Perguntas frequentes
O que causou o exploit no protocolo Bonzo Lend?
Uma falha na verificação de assinatura do contrato de oráculo Supra permitiu que invasores manipulassem os preços do token SAUCE, fornecendo dados de preço fraudulentos ao protocolo de empréstimos Bonzo.
Quanto a Bonzo Lend perdeu devido ao exploit?
A Bonzo Lend perdeu aproximadamente US$ 9,05 milhões no exploit do oráculo.
Que ações foram tomadas pela Bonzo Lend após o exploit?
O protocolo Bonzo foi pausado para evitar novas perdas, e tanto a Bonzo Labs quanto a Bonzo Finance Foundation estão coordenando esforços de recuperação e remediação.
Como o invasor se beneficiou do exploit no oráculo?
O invasor depositou 250 tokens SAUCE de baixo valor e enviou uma atualização de preço manipulada que inflou seu valor, usando então esse colateral artificialmente inflado para tomar emprestados ativos muito acima do que seu depósito real valia.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”O que causou o exploit no protocolo Bonzo Lend?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Uma falha na verificação de assinatura do contrato de oráculo Supra permitiu que invasores manipulassem os preços do token SAUCE, fornecendo dados de preço fraudulentos ao protocolo de empréstimos Bonzo.”}},{“@type”:”Question”,”name”:”Quanto a Bonzo Lend perdeu devido ao exploit?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A Bonzo Lend perdeu aproximadamente US$ 9,05 milhões no exploit do oráculo.”}},{“@type”:”Question”,”name”:”Que ações foram tomadas pela Bonzo Lend após o exploit?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”O protocolo Bonzo foi pausado para evitar novas perdas, e tanto a Bonzo Labs quanto a Bonzo Finance Foundation estão coordenando esforços de recuperação e remediação.”}},{“@type”:”Question”,”name”:”Como o invasor se beneficiou do exploit no oráculo?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”O invasor depositou 250 tokens SAUCE de baixo valor e enviou uma atualização de preço manipulada que inflou seu valor, usando então esse colateral artificialmente inflado para tomar emprestados ativos muito acima do que seu depósito real valia.”}}]}
Artigo produzido com a assistência de inteligência artificial e revisado pela equipe editorial.

