Взлом Bonzo Lend на Hedera: протокол потерял $9 млн из-за оракула. Новости криптовалют | Bitbanker Space

Июл 11, 17:30

Factory C.

7 мин

DeFi-протокол Bonzo Lend на Hedera взломали на $9 млн через уязвимость в оракуле Supra. Инцидент стал частью тренда роста атак на DeFi-сектор в 2026 году.

Взлом Bonzo Lend на Hedera: протокол потерял $9 млн из-за оракула

Детали эксплойта: манипуляция ценой залога

Атака на Bonzo Lend была основана на классическом векторе эксплуатации DeFi-протоколов — манипуляции ценой залогового актива. Злоумышленник не взламывал смарт-контракты самого протокола, а воспользовался уязвимостью в интегрированном сервисе ценовых оракулов для обхода системы управления рисками.

Схема была реализована в два этапа. Сначала хакер внес в качестве залога всего 250 токенов SAUCE, реальная стоимость которых не превышала нескольких долларов. Затем, используя уязвимость, он передал в протокол фиктивную цену, завышенную на 12 порядков (практически в триллион раз). Это позволило ему занять под ничего не стоящий залог **6,63 млн USDC** и 34,5 млн wrapped HBAR (wHBAR).

Уязвимость оракула Supra как первопричина

Команда Bonzo Lend в официальном отчете заявила, что первопричиной инцидента стала ошибка в работе поставщика данных — сервиса оракулов Supra. Согласно анализу, ончейн-верификатор Supra принял сфальсифицированное обновление цены токена SAUCE, которое было отправлено с недействительной, нулевой криптографической подписью. Это указывает на недостаточную проверку подлинности данных на стороне оракула.

Представители Supra подтвердили наличие уязвимости и сообщили, что уже развернули исправление для предотвращения подобных атак. В Bonzo Lend подчеркнули, что инцидент не связан с ошибками в их собственных смарт-контрактах или в основной сети Hedera. Также сообщается, что второй кошелек, выведший около $1 млн в ходе инцидента, идентифицировал себя как «белый хакер» и пообещал вернуть средства.

Хронология атаки

Эксплойт был проведен быстро и состоял из четкой последовательности действий, направленных на обход логики протокола.

  1. Депозит залога: Злоумышленник вносит 250 токенов SAUCE в лендинговый пул Bonzo Lend.
  2. Манипуляция ценой: Через уязвимость в оракуле Supra в протокол передается многократно завышенная цена SAUCE.
  3. Заем средств: Система, основываясь на неверных данных, позволяет хакеру занять ликвидные активы на сумму ~$9 млн.
  4. Реакция протокола: Bonzo Lend приостанавливает работу своих пулов и программы поинтов для проведения расследования.

Контекст: системные риски DeFi и схожие инциденты

Взлом Bonzo Lend вписывается в общую тенденцию роста числа атак на DeFi-сектор в 2026 году. Второй квартал стал рекордным по количеству инцидентов — 83 взлома с общим ущербом в $755 млн. Повторяющиеся проблемы с безопасностью подрывают доверие пользователей и способствуют оттоку капитала из сектора.

Данный тип атаки не нов. В феврале 2026 года похожий инцидент произошел с протоколом YieldBlox DAO в сети Stellar, где ущерб составил около $10 млн. Тогда злоумышленники также манипулировали ценой залогового актива. Повторение таких случаев указывает на системные риски, связанные с зависимостью DeFi-протоколов от внешних поставщиков данных.

Ключевые уязвимости, проявившиеся в подобных атаках:

  • Зависимость от одного источника ценовых данных.
  • Недостаточная верификация подлинности входящей информации.
  • Использование низколиквидных активов в качестве залога, что упрощает манипуляции.

Частые вопросы

Каким образом злоумышленнику удалось вывести $9 млн из Bonzo Lend?

Атакующий вывел средства, манипулируя ценой залогового актива через уязвимость в стороннем оракуле Supra. Он внес 250 низколиквидных токенов SAUCE, искусственно завысил их стоимость в триллионы раз и занял под них 6,63 млн USDC и 34,5 млн wHBAR.

Были ли уязвимы смарт-контракты Bonzo Lend или сеть Hedera?

Нет, уязвимость находилась не в смарт-контрактах Bonzo Lend или сети Hedera, а в ценовом оракуле Supra. Оракул принял сфальсифицированное обновление цены с недействительной криптографической подписью, что и позволило провести атаку. Команда Supra подтвердила проблему и выпустила исправление.

Насколько часто происходят атаки с манипуляцией оракулами в DeFi?

Атаки с манипуляцией ценовыми оракулами являются повторяющейся проблемой в секторе DeFi. Например, в феврале 2026 года протокол YieldBlox DAO потерял $10 млн в схожем инциденте. В целом, во втором квартале 2026 года было зафиксировано 83 взлома DeFi-протоколов с общим ущербом $755 млн.

Источники

  1. Cointelegraph
  2. Biggo
  3. Yahoo
  4. Phemex
  5. Cryptobreaking
  6. Phemex

Автор статьи

Content Factory AI author avatar
Content Factory

Bitbanker AI — автоматизированная редакция. Анализирует открытые источники крипто и финтех индустрии и публикует ключевые события и аналитику в режиме реального времени.

Все статьи автора