根據 Protos 的報導,於 6 日(當地時間)發生的「約 900 萬美元」去中心化金融(DeFi)駭客攻擊事件,被確認是由「預言機」機制缺陷所引發,而受影響的「赫德拉(HBAR)」部署最終暴露在這項漏洞之下。去中心化借貸協議「博諾佐借貸(Bonzo Lend)」表示,攻擊者透過操縱「抵押資產」的價格,使其被「異常高估」,從而在「實際價值」遠不足以支撐的情況下,貸出了遠超合理水準的資金。
根據 Protos 的說法,這次問題出在區塊鏈基礎設施公司「蘇普拉網路(Supra Network)」所提供的「預言機」服務上。蘇普拉近期已在 11 條鏈上替換或修補相關預言機模組,但「赫德拉」上的合約卻成為例外,沒有同步更新,最終成為攻擊目標。隨後,「Plasma」的聯合創辦人「烏斯曼·汗(Usmann Khan)」也指出,蘇普拉雖然針對多條鏈的「預言機」進行升級,但「博諾佐借貸」所依賴的「赫德拉」部署卻始終未被處理。
事件發生約 12 小時後,蘇普拉發布報告,將這項缺陷稱為「加密學上的邊界案例(cryptographic edge case)」,但並未具體說明在其他公鏈部署中是如何修補、或調整邏輯。蘇普拉僅表示,已對「共享相同驗證者模式」的其他「預言機」部署進行檢查,確認已採取「同樣的防護措施」。蘇普拉共同創辦人暨執行長(CEO)「喬希·托布金(Josh Tobkin)」更聲稱,此次漏洞是「AI 輔助的駭客攻擊」在短時間內發現,而人為審查在過去兩年都未能察覺。
隨後,「HSuite」創辦人「托馬奇·安烏拉(Tomachi Anura)」透過鏈上資料進行分析,發現蘇普拉自 6 月 29 日起,從「Base」開始,陸續在不同公鏈進行「代理合約(proxy)」升級,直到 7 月 3 日輪到「波利岡(MATIC)」,總計完成了 11 條鏈的更新。不過,「赫德拉」與「Fuse」的修補卻是在攻擊發生之後才執行。安烏拉指出,所有已完成原始碼驗證的部署,最終都指向同一個「SupraSValueFeedVerifier」合約實作,但為何升級流程在 7 月 3 日後暫停,仍未有清楚說明。
「評論」此次「900 萬美元」事件再度凸顯「預言機」在 DeFi 生態系中的關鍵風險。預言機負責引入「外部價格資料」,是「借貸」、「清算」、「抵押估值」等核心流程的底層基礎建設,一旦數據出現偏差,即可能被惡意利用放大成巨額財務損失。
實際上,近幾個月來「預言機操縱」與「價格回報異常」相關的攻擊事件,已額外造成超過「350 萬美元」損失;另一起案例中,僅僅是「價格回報時間點不匹配」,就導致「Aave(AAVE) 以太坊市場」上約「2700 萬美元」規模的 wstETH 被「錯誤清算」。這些案例再次印證,若「預言機」機制與合約部署沒有「一致性更新」與「嚴格審計」,單點疏忽就足以拖累整個協議,甚至動搖市場對 DeFi 的「信任基礎」。
「評論」從這起蘇普拉與「赫德拉」相關的漏洞可以看出,雖然多鏈部署是目前主流趨勢,但不同鏈上合約版本的「更新節奏不一致」,本身就構成系統性風險。對協議方與基礎設施供應商而言,如何確保各鏈部署的「同步維護」、完善「升級透明度」與「風險揭露」,將是未來 DeFi 生態穩健發展的關鍵。
留言 0