Детали эксплойта: манипуляция ценой залога
Атака на Bonzo Lend была основана на классическом векторе эксплуатации DeFi-протоколов — манипуляции ценой залогового актива. Злоумышленник не взламывал смарт-контракты самого протокола, а воспользовался уязвимостью в интегрированном сервисе ценовых оракулов для обхода системы управления рисками.
Схема была реализована в два этапа. Сначала хакер внес в качестве залога всего 250 токенов SAUCE, реальная стоимость которых не превышала нескольких долларов. Затем, используя уязвимость, он передал в протокол фиктивную цену, завышенную на 12 порядков (практически в триллион раз). Это позволило ему занять под ничего не стоящий залог **6,63 млн USDC** и 34,5 млн wrapped HBAR (wHBAR).
Уязвимость оракула Supra как первопричина
Команда Bonzo Lend в официальном отчете заявила, что первопричиной инцидента стала ошибка в работе поставщика данных — сервиса оракулов Supra. Согласно анализу, ончейн-верификатор Supra принял сфальсифицированное обновление цены токена SAUCE, которое было отправлено с недействительной, нулевой криптографической подписью. Это указывает на недостаточную проверку подлинности данных на стороне оракула.
Представители Supra подтвердили наличие уязвимости и сообщили, что уже развернули исправление для предотвращения подобных атак. В Bonzo Lend подчеркнули, что инцидент не связан с ошибками в их собственных смарт-контрактах или в основной сети Hedera. Также сообщается, что второй кошелек, выведший около $1 млн в ходе инцидента, идентифицировал себя как «белый хакер» и пообещал вернуть средства.
Хронология атаки
Эксплойт был проведен быстро и состоял из четкой последовательности действий, направленных на обход логики протокола.
- Депозит залога: Злоумышленник вносит 250 токенов SAUCE в лендинговый пул Bonzo Lend.
- Манипуляция ценой: Через уязвимость в оракуле Supra в протокол передается многократно завышенная цена SAUCE.
- Заем средств: Система, основываясь на неверных данных, позволяет хакеру занять ликвидные активы на сумму ~$9 млн.
- Реакция протокола: Bonzo Lend приостанавливает работу своих пулов и программы поинтов для проведения расследования.
Контекст: системные риски DeFi и схожие инциденты
Взлом Bonzo Lend вписывается в общую тенденцию роста числа атак на DeFi-сектор в 2026 году. Второй квартал стал рекордным по количеству инцидентов — 83 взлома с общим ущербом в $755 млн. Повторяющиеся проблемы с безопасностью подрывают доверие пользователей и способствуют оттоку капитала из сектора.
Данный тип атаки не нов. В феврале 2026 года похожий инцидент произошел с протоколом YieldBlox DAO в сети Stellar, где ущерб составил около $10 млн. Тогда злоумышленники также манипулировали ценой залогового актива. Повторение таких случаев указывает на системные риски, связанные с зависимостью DeFi-протоколов от внешних поставщиков данных.
Ключевые уязвимости, проявившиеся в подобных атаках:
- Зависимость от одного источника ценовых данных.
- Недостаточная верификация подлинности входящей информации.
- Использование низколиквидных активов в качестве залога, что упрощает манипуляции.
Частые вопросы
Каким образом злоумышленнику удалось вывести $9 млн из Bonzo Lend?
Атакующий вывел средства, манипулируя ценой залогового актива через уязвимость в стороннем оракуле Supra. Он внес 250 низколиквидных токенов SAUCE, искусственно завысил их стоимость в триллионы раз и занял под них 6,63 млн USDC и 34,5 млн wHBAR.
Были ли уязвимы смарт-контракты Bonzo Lend или сеть Hedera?
Нет, уязвимость находилась не в смарт-контрактах Bonzo Lend или сети Hedera, а в ценовом оракуле Supra. Оракул принял сфальсифицированное обновление цены с недействительной криптографической подписью, что и позволило провести атаку. Команда Supra подтвердила проблему и выпустила исправление.
Насколько часто происходят атаки с манипуляцией оракулами в DeFi?
Атаки с манипуляцией ценовыми оракулами являются повторяющейся проблемой в секторе DeFi. Например, в феврале 2026 года протокол YieldBlox DAO потерял $10 млн в схожем инциденте. В целом, во втором квартале 2026 года было зафиксировано 83 взлома DeFi-протоколов с общим ущербом $755 млн.