零值预言机签名漏洞引发资金盗取

据报道,一个零值预言机签名缺陷使攻击者成功从基于Hedera网络的去中心化借贷协议Bonzo Lend中窃取约900万美元资产。该漏洞源于价格馈送验证机制中的加密校验缺陷,攻击者通过传入零值绕过签名验证流程,使篡改后的价格数据被系统误认为合法,从而触发异常借贷行为。

攻击路径:签名验证环节的单一故障点

预言机签名是确保链下价格数据真实性的关键机制。在本次事件中,由于验证逻辑未对零值输入进行有效拦截,攻击者可构造无效但格式正确的签名,使得伪造的价格信息顺利进入协议核心计算流程。一旦虚假高估的抵押品价值被接受,攻击者即可提取远超其实际质押金额的资金,且无需依赖闪电贷或复杂套利策略。

Bonzo Lend在Hedera生态中的角色与影响

Bonzo Lend作为Hedera网络上的主要借贷协议之一,为用户提供资产存入收益及杠杆借贷服务。此次大规模资金流失对尚处发展初期的Hedera DeFi生态构成显著冲击。平台声誉受损可能影响用户信心与流动性积累,进而波及跨链资产锁仓规模和协议长期稳定性。

漏洞根源:预言机集成层的安全盲区

根据事后报告,根本原因被定位在预言机提供商与协议之间的接口设计,而非核心智能合约代码本身。这一发现表明,即使协议自身逻辑健全,若与外部数据源的交互缺乏严格验证,仍存在重大风险。此类问题在新兴区块链生态系统中尤为突出,因基础设施成熟度较低,安全审计覆盖不足。

对整个DeFi生态的警示意义

此次事件再次强调价格预言机作为去中心化金融核心组件的敏感性。任何数据认证环节的疏漏都可能被恶意利用,直接操纵抵押率、清算阈值和借贷额度等关键参数。零值签名攻击因其操作简单、成本低而更具隐蔽性,提示所有依赖外部数据的协议必须将签名验证机制纳入高优先级安全审查范畴,尤其是在技术栈尚未完善的新兴网络中。