
Bonzo Lend 事件复盘:一个零签名漏洞,如何让协议损失 900 万美元?
TechFlow Selected 深潮精选

Bonzo Lend 事件复盘:一个零签名漏洞,如何让协议损失 900 万美元?
当验证器将数学恒等式误认为授权证明时,协议设计的贷款价值比规则反而成了帮凶。
作者:CryptoSlate
编译:深潮 TechFlow
深潮导读:一个价值几美元的山寨币抵押品,通过预言机验证器的零签名漏洞,成功借出 905 万美元。这起事件暴露了 DeFi 基础设施中被忽视的数学验证盲区:当验证器将数学恒等式误认为授权证明时,协议设计的贷款价值比规则反而成了帮凶。
基于 Hedera 的借贷协议 Bonzo Lend 已锁定提款功能,此前一个预言机验证器接受了包含零签名和公钥的证明,允许一个钱包以 250 枚 SAUCE 作为抵押借出 905 万美元。

截至 7 月 13 日,Bonzo Lend 和 Bonzo Points 仍处于暂停状态,协议的官方状态页面显示 Bonzo Lend 及所有受影响的资产市场处于维护中。
在 Bonzo Finance Labs 和 Bonzo Finance Foundation 确定恢复路径和重新开放条件期间,流动性提供者仍无法提款。
钱包 A 首先存入了 250 枚 SAUCE,价值仅几美元。在 UTC 时间 00:51,它提交了一个 SAUCE/wHBAR 价格更新,将该代币的价值夸大了约 12 个数量级,尽管市场价格仍维持在 0.2 HBAR 附近。
在被操纵的价格到达预言机的链上存储 8 秒后,该钱包借出了 663 万 USDC。
随后它又借出了 3450 万枚 wrapped HBAR,使钱包 A 提取的本金按 Bonzo 的参考价格计算约达 905 万美元。
零值如何通过验证器
提交的更新不包含有效的预言机签名。其签名字段为[0,0],而引用的委员会公钥也是零点,在密码学中称为无穷远点。
Supra 的验证器将这些输入发送到 Hedera 的配对预编译合约。由于两个点都代表数学恒等式,配对方程按设计返回了 true。
验证器随后将该结果视为委员会签名的证明,因为它没有首先拒绝零值、恒等式和非子群输入。
简单来说,网络正确回答了它收到的方程,而验证器将该答案误认为是授权。
Bonzo 表示其借贷合约随后使用预言机已存储的价格,按照其编程的贷款价值比规则执行。
另一个钱包 B 在异常价格仍然有效时借出了约 100 万美元。该钱包联系了 Bonzo,表明自己是白帽响应者,并声明打算归还资金。
Bonzo 统计约 100 万美元已被追回,尽管资金尚未归还,最终数额仍未确定。
Bonzo 报告称 Supra 已修复验证器,但借贷池仍处于关闭状态。
剩余问题包括回归测试是否确认验证器拒绝恒等式输入,Bonzo 是否会添加价格偏差检查或收紧抵押品参数,以及恢复提款时如何处理可用资产。
截至 7 月 13 日,Bonzo 的官方状态页面继续将该事件列为未解决。其 7 月 11 日发布的最新正式更新称协议仍处于暂停状态。
Bonzo 尚未宣布赔偿、重新开放日期或面向用户的提款条款,使流动性提供者依赖于接下来的恢复计划。
欢迎加入深潮TechFlow官方社群
Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News












