Bonzo Lend (Hedera) perd environ 9 M$ après une manipulation d'oracle sur le collatéral SAUCE

Résumé du marché par IA
Bonzo Lend sur Hedera a signalé un exploit piloté par un oracle, entraînant environ 9 M$ de pertes après une mise à jour du prix de SAUCE manipulée (acceptée malgré une signature mise à zéro) qui a permis un emprunt démesuré d'USDC et de HBAR wrapés. Bien que Bonzo affirme que les contrats principaux et le réseau de base d'Hedera n'étaient pas en cause, l'incident souligne la récurrence des risques DeFi liés à la tarification des collatéraux et à la validation des oracles, ce qui devrait peser sur la confiance dans la liquidité et les intégrations DeFi basées sur Hedera.
Niveau d'impact
● Moyen
Actifs concernés
HBAR/USDT-0.69%
Infos de l'IA · HBAR/USDTInfos de l'IA
▼ Baissier
Trader maintenant
⚠️ Les infos générées par l'IA sont basées sur des contenus d'actualité et fournies à titre informatif uniquement. Elles ne constituent pas des conseils en investissement et ne reflètent pas les positions de BingX. Investir comporte des risques. Tradez de manière responsable.
Le protocole de prêt Bonzo Lend, déployé sur Hedera, indique avoir subi une perte économique d'environ 9 millions de dollars après une attaque liée à la valorisation d'un collatéral à faible valeur. Selon un rapport d'incident préliminaire publié samedi sur son site, un acteur malveillant a réussi à faire accepter une mise à jour de prix falsifiée pour le jeton SAUCE utilisé en garantie, gonflant sa valeur d'environ 12 ordres de grandeur. Une fois ce prix artificiel pris en compte, l'attaquant a pu emprunter bien au-delà de la valeur réelle du collatéral, vidant la liquidité du pool. Bonzo affirme que les montants empruntés incluent 6,63 millions d'USDC et 34,5 millions de wrapped HBAR. Points clés - Bonzo Lend évalue l'impact économique à environ 9 M$, déclenché par une manipulation du prix du collatéral. - Le protocole attribue la cause racine à l'acceptation, par le vérificateur d'oracle on-chain de Supra, d'une mise à jour comportant une signature mise à zéro. - Un dépôt initial limité (250 SAUCE) a suffi à emprunter des millions d'actifs après l'inflation du prix SAUCE via l'oracle. - Bonzo soutient qu'il ne s'agit pas d'une faille des smart contracts de Bonzo Lend ni du réseau de base Hedera, mais d'un problème de validation en amont au niveau de l'oracle. - L'attaque rappelle un exploit de valorisation de collatéral observé sur Stellar plus tôt cette année, illustrant un risque récurrent en DeFi. Comment un mauvais prix est devenu un collatéral "valide" D'après Bonzo, l'attaquant a d'abord déposé 250 SAUCE, un montant censé ne valoir que quelques dollars aux prix normaux. L'étape déterminante a consisté à soumettre, via le mécanisme d'oracle intégré au protocole, une mise à jour de prix faisant bondir la valeur du SAUCE d'environ 12 ordres de grandeur. Une fois la donnée acceptée, la logique interne de valorisation du collatéral a reflété ce prix gonflé, donnant à l'attaquant une capacité d'emprunt sans rapport avec la garantie déposée. L'épisode met en lumière une défaillance classique en DeFi : quand un oracle alimente un protocole de prêt avec un prix manipulé, la plateforme peut fonctionner "comme prévu" sur le plan technique tout en permettant une extraction financière massive. Le vérificateur d'oracle mis en cause Bonzo oriente l'analyse vers un problème de validation côté oracle. Le protocole indique que le vérificateur d'oracle on-chain de Supra aurait accepté une mise à jour de prix SAUCE manipulée alors qu'elle comportait, selon Bonzo, une signature mise à zéro. Bonzo ajoute que Supra a reconnu le problème et déployé un correctif. En parallèle, Bonzo insiste sur le fait que l'incident ne résulte ni d'une vulnérabilité de ses contrats ni d'une faille du cœur réseau Hedera. Pour les utilisateurs et intégrateurs, l'enjeu est clair : la sécurité du modèle de risque dépend aussi des hypothèses de fiabilité des infrastructures d'oracle. Même si le code applicatif est correct, une couche oracle qui n'applique pas strictement la validation des signatures (ou la garantie d'intégrité des données) peut compromettre l'ensemble. Pourquoi ces attaques sur les prix de collatéral reviennent sans cesse L'incident s'inscrit dans un contexte de pression persistante sur la sécurité DeFi en 2026. Cointelegraph a indiqué que le deuxième trimestre a été le plus touché en nombre d'incidents, avec 83 exploits et environ 755 millions de dollars dérobés, dont 351 millions liés aux attaques de ponts cross-chain. Le même bilan souligne que les compromissions d'administrateurs et la manipulation de prix de faux jetons représentent ensemble 37 % des pertes trimestrielles. Au-delà des statistiques, la confiance des utilisateurs reste un facteur clé. Cointelegraph rapporte aussi que la valeur totale verrouillée (TVL) en DeFi a chuté de 39 % pour dépasser 70 milliards de dollars en juin 2026, contre environ 115 milliards en janvier. Des données CryptoRank citées dans la même couverture font état, sur la période, de 121 hacks et d'environ 942 millions de dollars de pertes, ce qui suggère que la répétition des incidents a pu alimenter les sorties de capitaux. Le cas Bonzo illustre cette dynamique : en s'attaquant aux entrées de prix, les assaillants contournent des défenses plus "traditionnelles", car l'attaque exploite les règles économiques du système plutôt que de briser directement les contrats. Quand un marché de prêt dépend d'une valorisation exacte du collatéral, la couche oracle devient une cible à forte valeur ; un seul contrôle d'intégrité défaillant peut suffire à déclencher des emprunts de type "liquidation" sans garde-fous. Un scénario proche observé sur Stellar plus tôt en 2026 Bonzo fait aussi le lien avec un incident sur Stellar en février 2026 : des attaquants avaient alors drainé environ 10 millions de dollars d'un pool de prêt géré par YieldBlox DAO après avoir manipulé le chemin de prix utilisé pour valoriser le collatéral USTRY, permettant des emprunts supérieurs à la valeur réelle de la garantie. Les deux attaques se produisent sur des écosystèmes différents, mais reposent sur le même levier : déformer le calcul et la confiance accordée aux prix de collatéral pour extraire la liquidité. Ces cas rappellent que l'intégrité des prix de collatéral n'est pas un risque marginal, mais l'une des vulnérabilités les plus reproductibles des systèmes de prêt surcollatéralisés. Pour les développeurs, la question devient opérationnelle : quelles garanties exiger des fournisseurs d'oracle, quels mécanismes de surveillance et quels plans de repli activer quand l'intégrité des prix se dégrade ? Bonzo met en avant la validation de signature comme garde-fou central, avec l'impératif de règles de vérification robustes, y compris face à des mises à jour malformées ou non autorisées. L'attention du marché se portera sur la manière dont les fournisseurs d'oracles et les protocoles intégrateurs valident leurs correctifs après ce type d'incident, notamment sur le durcissement du comportement des vérificateurs dans les cas limites comme les signatures invalides, et sur l'éventuelle adaptation des paramètres de risque des marchés de prêt en réponse aux défaillances de la couche oracle.