Oracle-Angriff entzieht Hedera-Protokoll Bonzo Lend rund 9 Mio. US-Dollar

KI-Marktzusammenfassung
Bonzo Lend auf Hedera meldete einen oracle-gesteuerten Exploit, der zu Verlusten von rund 9 Mio. US-Dollar führte, nachdem ein manipuliertes SAUCE-Preis-Update (trotz einer auf Null gesetzten Signatur akzeptiert) übermäßige Kreditaufnahmen von USDC und Wrapped HBAR ermöglichte. Während Bonzo erklärt, dass weder die Kernverträge noch das Basisnetzwerk von Hedera schuld waren, unterstreicht der Vorfall wiederkehrende Risiken bei der DeFi-Besicherungspreisbildung und der Oracle-Validierung, was wahrscheinlich das Vertrauen in Hedera-basierte DeFi-Liquidität und Integrationen belastet.
Einflussstufe
● Medium
Betroffene Assets
HBAR/USDT+0.04%
AI-Einblick · HBAR/USDTAI-Einblick
▼ Bärisch
Jetzt traden
⚠️ Die von AI generierten Einblicke basieren auf Nachrichteninhalten und dienen ausschließlich zu Informationszwecken. Sie stellen weder eine Anlageberatung dar noch geben sie die Ansichten von BingX wieder. Investitionen sind mit Risiken verbunden. Bitte trade verantwortungsbewusst.
Bonzo Lend, ein Kreditprotokoll im Hedera-Ökosystem, meldet Verluste von rund 9 Mio. US-Dollar nach einem Angriff auf die Preisermittlung von Sicherheiten. Nach Angaben des Protokolls nutzte der Angreifer einen manipulierten Preisfeed für einen niedrig bewerteten Collateral-Token, um aus einer kleinen Einzahlung eine stark überhöhte Kreditlinie abzuleiten und die Liquidität des Lending-Pools abzuziehen. In einem vorläufigen Incident-Report, der am Samstag auf der Bonzo-Website veröffentlicht wurde, beschreibt das Team einen orakelgetriebenen Ausfall: Für die als Sicherheit hinterlegte SAUCE-Position sei ein präpariertes Preis-Update eingereicht worden, das den gemeldeten Wert um etwa 12 Größenordnungen nach oben verzerrte. Auf Basis dieser künstlich aufgeblähten Bewertung habe der Angreifer anschließend 6,63 Mio. USDC sowie 34,5 Mio. Wrapped HBAR geliehen. Kernaussagen laut Bonzo - Bonzo Lend beziffert den wirtschaftlichen Schaden auf etwa 9 Mio. US-Dollar; Auslöser war eine manipulierte Collateral-Bepreisung. - Als Ursache nennt das Protokoll, dass der On-Chain-Oracle-Verifier von Supra ein Update akzeptiert habe, das eine auf null gesetzte Signatur enthielt. - Eine initiale Einzahlung von 250 SAUCE habe ausgereicht, um nach der Preisaufblähung Vermögenswerte in Millionenhöhe zu leihen. - Bonzo betont, es handle sich weder um einen Fehler in den Smart Contracts von Bonzo Lend noch um ein Problem des Hedera-Basisnetzwerks, sondern um ein vorgelagertes Validierungsproblem im Oracle-Layer. - Der Vorfall folgt einem ähnlichen Collateral-Preis-Exploit auf Stellar Anfang des Jahres und unterstreicht ein wiederkehrendes DeFi-Risikomuster. Wie aus einem falschen Preis "echte" Sicherheit wurde Bonzo schildert eine Abfolge, die darauf abzielte, wie Lending-Plattformen Oracle-Preise in Borrowing-Power übersetzen. Demnach begann der Angreifer mit der Einzahlung von 250 SAUCE, die unter normalen Kursen nur wenige US-Dollar wert gewesen seien. Entscheidend sei anschließend das Einreichen eines Preis-Updates über die in das Protokoll integrierte Oracle-Mechanik gewesen, das den SAUCE-Preis um rund 12 Größenordnungen erhöhte. Nachdem das manipulierte Update akzeptiert worden sei, habe die Collateral-Logik den aufgeblähten Wert übernommen. Dadurch konnte das Konto Kredite aufnehmen, die in keinem Verhältnis zur ursprünglich hinterlegten Sicherheit standen. Als entnommene Beträge nennt Bonzo 6,63 Mio. USDC und 34,5 Mio. Wrapped HBAR. Der Fall zeigt ein bekanntes DeFi-Fehlermuster: Sobald ein Oracle einen manipulierten Preis in ein Kreditprotokoll einspeist, kann das System zwar "wie vorgesehen" funktionieren, ermöglicht aber dennoch eine massive wirtschaftliche Abschöpfung. Worauf Bonzo die Oracle-Panne zurückführt Bonzo ordnet den Vorfall nicht als Schwachstelle der eigenen Lending-Logik ein, sondern als Problem der Oracle-Validierung. Ursache sei ein Fehler im On-Chain-Oracle-Verifier von Supra gewesen, der laut Bonzo ein manipuliertes SAUCE-Preis-Update akzeptiert habe, obwohl die Signatur auf null gesetzt war. Bonzo zufolge habe Supra das Problem bestätigt und eine Korrektur ausgerollt. Gleichzeitig stellt Bonzo klar, dass weder die Verträge von Bonzo Lend noch das Hedera-Core-Netzwerk kompromittiert worden seien. Für Nutzer und Integratoren sei diese Abgrenzung relevant, weil sie den Fokus auf die Zuverlässigkeit der Oracle-Infrastruktur und die Sicherheitsannahmen lenkt, auf denen die Preisfeeds basieren. Selbst wenn der Anwendungscode korrekt ist, kann ein Oracle-Layer, der Signaturen nicht sauber prüft oder die Datenintegrität anderweitig nicht durchsetzt, das gesamte Risikomodell aushebeln. Warum Collateral-Preis-Angriffe im DeFi immer wieder auftreten Der Bonzo-Vorfall fällt in eine Phase anhaltenden Drucks auf die DeFi-Sicherheit im Jahr 2026. Cointelegraph berichtete, das zweite Quartal sei gemessen an der Anzahl der Vorfälle das bisher am stärksten gehackte Quartal gewesen: 83 Exploits und rund 755 Mio. US-Dollar an entwendeten Mitteln, davon 351 Mio. US-Dollar durch Cross-Chain-Bridge-Angriffe. In derselben Berichterstattung hieß es, kompromittierte Administrator-Zugänge und Manipulationen von Fake-Token-Preisen hätten zusammen 37% der Quartalsverluste ausgemacht. Auch die Entwicklung beim Nutzervertrauen spiegelt sich in den Kapitalflüssen wider: Cointelegraph zufolge fiel der DeFi-Total-Value-Locked (TVL) im Juni 2026 um 39% auf mehr als 70 Mrd. US-Dollar, nach rund 115 Mrd. US-Dollar im Januar. Separat zitierte CryptoRank-Daten wiesen im gleichen Zeitraum 121 Hacks und etwa 942 Mio. US-Dollar Verlust aus. Der Bonzo-Fall passt in dieses Muster: Angriffe auf Preisinputs umgehen klassische Schutzmechanismen, weil sie nicht zwingend Kernverträge brechen, sondern die ökonomischen Regeln des Systems ausnutzen. Wo Kreditmärkte auf korrekte Sicherheitenbewertung angewiesen sind, wird die Oracle-Schicht zum Hochwert-Ziel; ein einzelner fehlgeschlagener Integritätscheck kann genügen, um kreditgetriebene Abflussmechanik auszulösen. Ähnliches Vorgehen auf Stellar Anfang 2026 Bonzo verweist zudem auf einen vergleichbaren Exploit im Stellar-Ökosystem Anfang 2026. Im Februar hätten Angreifer rund 10 Mio. US-Dollar aus einem von einer YieldBlox-DAO verwalteten Lending-Pool abgezogen, nachdem sie den Preis-Pfad manipuliert hatten, der zur Bewertung von USTRY als Sicherheit genutzt wurde. Diese Verzerrung habe es ermöglicht, Kredite oberhalb des realen Sicherheitenwerts aufzunehmen. Auch wenn die Vorfälle in unterschiedlichen Ökosystemen stattfanden, ist der Mechanismus ähnlich: Angreifer setzen bei der Berechnung und dem Vertrauen in Collateral-Preise an und nutzen die verzerrten Bewertungen zum Liquiditätsabzug. Damit wird deutlich, dass die Integrität der Sicherheitenbepreisung kein Randthema ist, sondern eine der am häufigsten wiederkehrenden Schwachstellen in Lending- und Collateral-Systemen. Für Entwickler stellt sich damit eine praktische Frage: Welche Zusicherungen müssen Oracle-Anbieter liefern, und welche Monitoring- oder Fallback-Strategien greifen, wenn Preis-Integrität bricht? Bonzos Darstellung hebt die Signaturprüfung als zentrale Schutzmaßnahme hervor und impliziert, dass deren Durchsetzung auch in Edge-Cases wie ungültigen Signaturen nicht umgangen werden darf. Für Nutzer und Betreiber dürfte entscheidend sein, wie Oracle-Anbieter und Integratoren Korrekturen nach solchen Vorfällen verifizieren und ob Kreditmärkte ihre Risikoparameter an Oracle-Layer-Ausfälle anpassen.