Un fallo en el oráculo vacía unos 9 millones de dólares en Bonzo Lend, protocolo de préstamos en Hedera

Resumen del mercado generado por IA
Bonzo Lend en Hedera informó de un exploit impulsado por un oráculo que causó aproximadamente 9M$ en pérdidas después de que una actualización manipulada del precio de SAUCE (aceptada a pesar de una firma puesta a cero) permitiera un endeudamiento desproporcionado de USDC y HBAR envuelto. Aunque Bonzo afirma que los contratos principales y la red base de Hedera no tuvieron la culpa, el incidente subraya los riesgos recurrentes de fijación de precios del colateral y validación de oráculos en DeFi, probablemente presionando la confianza en la liquidez e integraciones DeFi basadas en Hedera.
Nivel de impacto
● Media
Activos afectados
HBAR/USDT-0.73%
Ideas de IA · HBAR/USDTIdeas de IA
▼ Bajista
Haz trading ahora
⚠️ Las ideas generadas por IA se basan en contenido de noticias y se proporcionan solo con fines informativos. No constituyen asesoramiento de inversión ni representan los puntos de vista de BingX. Invertir implica riesgos. Opera de forma responsable.
Bonzo Lend, un protocolo de préstamos basado en Hedera, informó de pérdidas cercanas a los 9 millones de dólares tras un ataque que manipuló el precio de un token de colateral de bajo valor. El atacante habría convertido un depósito pequeño en capacidad de endeudamiento muy superior al valor real del colateral, drenando liquidez del fondo de préstamos. En un informe preliminar publicado el sábado en su web, Bonzo detalló un fallo "impulsado por el oráculo": el atacante envió una actualización de precio diseñada para el colateral SAUCE que infló su valoración reportada en torno a 12 órdenes de magnitud. Con ese precio falseado, el atacante tomó prestados 6,63 millones de USDC y 34,5 millones de wrapped HBAR. Claves del incidente - Bonzo Lend calcula un impacto económico de unos 9 millones de dólares, provocado por la manipulación del precio del colateral. - La causa raíz, según el protocolo, fue que el verificador on-chain del oráculo de Supra aceptó una actualización con una firma a cero. - Un depósito inicial reducido (250 SAUCE) bastó para pedir prestados millones en activos tras inflarse el precio de SAUCE reportado por el oráculo. - Bonzo sostiene que no se trata de un fallo en los smart contracts de Bonzo Lend ni en la red base de Hedera, sino de un problema de validación del oráculo en un componente aguas arriba. - El ataque recuerda a un exploit similar de valoración de colateral en Stellar a comienzos de año, señalando un patrón de riesgo recurrente en DeFi. De un mal precio a colateral "válido" El informe describe una secuencia típica de explotación de cómo las plataformas de crédito convierten precios de oráculo en poder de endeudamiento. Según Bonzo, el atacante empezó depositando 250 SAUCE, valorados normalmente en apenas unos dólares. El punto decisivo fue la presentación, mediante el mecanismo de oráculo integrado, de una actualización que disparó el precio de SAUCE en aproximadamente 12 órdenes de magnitud. Una vez aceptado ese precio, la lógica de valoración del colateral reflejó la cifra inflada y permitió solicitar préstamos desproporcionados respecto al colateral aportado. Bonzo afirma que el endeudamiento resultante incluyó 6,63 millones de USDC y 34,5 millones de wrapped HBAR. El episodio encaja con un modo de fallo conocido en DeFi: si un oráculo introduce un precio manipulado en un sistema de préstamos, el protocolo puede comportarse "según lo previsto" y, aun así, permitir una extracción financiera de gran escala. El problema: el verificador del oráculo Bonzo enmarca el incidente como un fallo de validación del oráculo, no de la lógica de préstamo. El protocolo atribuye el origen a un defecto en el verificador on-chain del oráculo de Supra que, siempre según Bonzo, aceptó un precio manipulado de SAUCE pese a llevar una firma anulada. Bonzo añadió que Supra reconoció el problema y desplegó una corrección. A la vez, el protocolo insistió en que no hubo vulnerabilidad en sus contratos ni en el núcleo de Hedera. Para usuarios e integradores, la distinción desplaza el foco a los supuestos de seguridad de la infraestructura de oráculos y a las garantías que se esperan de los feeds de precios. Incluso con código de aplicación correcto, una capa de oráculo que no valida firmas (o no preserva la integridad de datos) puede romper el modelo de riesgo completo. Por qué vuelven los exploits de precio del colateral en DeFi El incidente llega en un contexto de presión sostenida sobre la seguridad DeFi durante 2026. Cointelegraph señaló que el segundo trimestre fue el más atacado por número de incidentes, con 83 exploits y unos 755 millones de dólares robados; los ataques a puentes cross-chain representaron 351 millones. El mismo reporte indicó que los ataques por compromiso de administradores y la manipulación de precios de tokens falsos sumaron el 37% de las pérdidas trimestrales. La confianza del usuario aparece como variable clave. Cointelegraph también informó de que el valor total bloqueado (TVL) en DeFi cayó un 39% hasta superar los 70.000 millones de dólares en junio de 2026, desde alrededor de 115.000 millones en enero. Por separado, datos de CryptoRank citados en esa cobertura apuntaron a 121 hacks y cerca de 942 millones de dólares en pérdidas en el mismo periodo, lo que sugiere que la repetición de incidentes pudo acelerar la salida de capital. El caso Bonzo encaja con ese patrón: los ataques que alteran las entradas de precio suelen esquivar defensas "tradicionales" porque explotan reglas económicas del sistema en lugar de romper directamente los contratos. Cuando un mercado de préstamos depende de una valoración exacta del colateral, la capa de oráculos se convierte en un objetivo de alto valor, y un único fallo de integridad puede activar mecánicas de endeudamiento similares a una liquidación, sin frenos efectivos. Un guion parecido en Stellar a principios de año Bonzo también comparó el episodio con un exploit en Stellar a comienzos de 2026. En febrero, atacantes drenaron aproximadamente 10 millones de dólares de un pool de préstamos gestionado por YieldBlox DAO tras manipular la ruta de precios utilizada para valorar el colateral USTRY. La distorsión permitió endeudarse por encima del valor real del colateral. Aunque ocurrieron en ecosistemas distintos, el mecanismo es similar: los atacantes se centraron en cómo se calculan y se confían los precios del colateral, y aprovecharon valoraciones deformadas para extraer liquidez. En conjunto, ambos casos refuerzan que la integridad del precio del colateral no es un riesgo marginal, sino una de las vulnerabilidades más repetibles en sistemas de préstamos y endeudamiento colateralizado. Para desarrolladores, la cuestión práctica es qué garantías exigen a los proveedores de oráculos y qué monitorización o planes de contingencia activan cuando la integridad del precio falla. El relato de Bonzo señala la validación de firmas como salvaguarda crítica y apunta a la necesidad de mecanismos robustos que no puedan eludirse mediante actualizaciones malformadas o no autorizadas. Este artículo se publicó originalmente como "Oracle Exploit Wipes $9M From Bonzo Lend on Hedera" en Crypto Breaking News.