Bonzo Lend stima perdite per 9 milioni di dollari dopo un exploit dell'oracle su Hedera
Riepilogo di mercato AI
La perdita di ~9 milioni di dollari di Bonzo Lend su Hedera mette in evidenza il persistente rischio DeFi legato agli oracoli e alla verifica dei prezzi, dopo che un aggiornamento SAUCE manipolato ha consentito un indebitamento sproporzionato di USDC e wrapped HBAR. Sebbene Bonzo sostenga che i suoi contratti e il core di Hedera non fossero responsabili, l'incidente ribadisce come i guasti dei verificatori di oracoli di terze parti possano compromettere rapidamente la solvibilità e la fiducia nei pool di prestito. Il contesto più ampio di una frequenza elevata di exploit potrebbe intensificare l'avversione al rischio nel breve termine in tutta la DeFi.
Livello dell'impatto
● Medium
Asset interessati
BTC/USDT+0.27%
Approfondimenti AI · BTC/USDTApprofondimenti AI
▼ Ribassista
Fai subito trading
⚠️ Le analisi generate dall'AI si basano sui contenuti delle notizie e sono forniti esclusivamente a scopo informativo. Non costituiscono consulenza in materia di investimenti né rappresentano le opinioni di BingX. Investire comporta rischi. Fai trading in modo responsabile.
Bonzo Lend, protocollo di lending basato su Hedera, ha segnalato una perdita economica stimata in circa 9 milioni di dollari a seguito di un attacco che ha sfruttato il meccanismo di pricing dei token utilizzato per valorizzare il collaterale. L'attaccante avrebbe manipolato il prezzo di SAUCE inviato tramite un feed oracle, riuscendo così a prendere a prestito dal pool di liquidità di Bonzo importi di gran lunga superiori al valore reale delle garanzie depositate.
In un report preliminare pubblicato sabato, Bonzo ha spiegato che l'attacco è iniziato con il deposito di 250 SAUCE, un ammontare che in condizioni normali varrebbe "solo pochi dollari" secondo la valutazione del protocollo. In seguito, l'attaccante ha presentato un aggiornamento di prezzo che ha gonfiato il valore riportato di SAUCE di circa 12 ordini di grandezza. Con quel prezzo falsato, l'account avrebbe preso a prestito 6,63 milioni di USDC e 34,5 milioni di wrapped HBAR.
Punti chiave
Bonzo Lend stima un impatto economico di circa 9 milioni di dollari dopo che la manipolazione del prezzo di SAUCE ha consentito di prendere a prestito più del dovuto.
Il problema sarebbe riconducibile al verifier oracle onchain di Supra, che avrebbe accettato un aggiornamento di prezzo manomesso con una firma azzerata.
Bonzo sostiene che l'exploit non dipende da difetti dei propri smart contract né dalla rete core di Hedera.
L'episodio evidenzia una fragilità ricorrente nella DeFi: la debolezza degli oracle può trasformare collaterale di scarso valore in una leva per prelievi indebiti.
Il caso richiama un attacco simile sulla valorizzazione del collaterale che ha colpito un lending pool su Stellar all'inizio del 2026.
Come un deposito minimo ha portato a un drenaggio rilevante
Secondo la ricostruzione di Bonzo, l'exploit ruota attorno alla valutazione del collaterale. I protocolli di lending si basano su price feed accurati per stabilire quanto un utente possa prendere a prestito rispetto agli asset depositati. Se un oracle può essere manipolato, o se la logica di verifica non è sufficientemente robusta, i controlli sul collaterale possono essere aggirati di fatto.
Bonzo descrive un approccio in due passaggi: prima il deposito di 250 SAUCE come garanzia, poi l'invio di un aggiornamento oracle che attribuiva a SAUCE un valore enormemente più alto, con un'inflazione stimata intorno a 12 ordini di grandezza. Una volta che il sistema ha "creduto" al nuovo prezzo, ha permesso il prelievo di liquidità ben oltre quanto giustificato dal deposito iniziale, per un totale di 6,63 milioni di USDC e 34,5 milioni di wrapped HBAR.
Il punto critico: la verifica dell'oracle
Bonzo attribuisce l'incidente a un difetto nel verifier oracle onchain di Supra. Il protocollo afferma che il verifier avrebbe accettato un aggiornamento del prezzo di SAUCE manipolato e corredato da una firma azzerata, consentendo di aggiornare il feed senza una corretta validazione crittografica. Bonzo aggiunge che Supra avrebbe riconosciuto il problema e distribuito una correzione.
Bonzo sottolinea anche un aspetto rilevante per utenti e integratori: l'evento non sarebbe riconducibile a una vulnerabilità dei contratti di Bonzo Lend e non avrebbe legami con la rete base di Hedera. La distinzione evidenzia come, anche con logiche di lending e consenso di rete stabili, componenti oracle di terze parti e i relativi livelli di verifica possano introdurre falle critiche. Il tema non riguarda solo prezzi corretti, ma anche l'autenticità dei feed e la loro resistenza alla manomissione.
Un problema sempre più centrale per la sicurezza DeFi
L'exploit su Bonzo arriva in un contesto di maggiore attenzione alla sicurezza DeFi. Cointelegraph ha riportato che il secondo trimestre è stato quello con più attacchi di sempre per numero di incidenti: 83 exploit e circa 755 milioni di dollari sottratti. Nella ripartizione, gli attacchi ai bridge cross-chain hanno rappresentato 351 milioni di dollari, mentre compromissioni di amministratori e manipolazioni del prezzo di token "fake" hanno inciso per il 37% delle perdite trimestrali.
Anche i dati sull'ecosistema indicano pressione: secondo Cointelegraph, il total value locked (TVL) della DeFi è sceso del 39% a oltre 70 miliardi di dollari a giugno, dai circa 115 miliardi di gennaio. CryptoRank ha registrato 121 hack e circa 942 milioni di dollari di perdite nel periodo, un quadro che suggerisce come la ripetizione di eventi di sicurezza abbia probabilmente pesato sulla fiducia e contribuito a un deflusso di capitale da parte del settore.
In questo scenario, la manipolazione del collaterale tramite oracle segue uno schema già noto: colpire il meccanismo che sostiene il modello di rischio del protocollo. Quando le ipotesi di pricing saltano, le salvaguardie di liquidazione e i parametri di collateralizzazione possono non riuscire a proteggere i liquidity provider.
Non è un caso isolato: precedente su Stellar
Il report di Bonzo richiama un altro exploit sulla valorizzazione del collaterale che ha colpito un lending pool su Stellar. A febbraio, gli attaccanti hanno sottratto circa 10 milioni di dollari da un lending pool gestito dalla DAO YieldBlox dopo aver manipolato il percorso di prezzo utilizzato per valutare il collaterale USTRY, ottenendo così la possibilità di prendere a prestito oltre il valore reale delle garanzie. Cointelegraph ha coperto l'episodio evidenziando la somiglianza del metodo: alterare gli input di prezzo su cui il protocollo fa affidamento per i calcoli del collaterale.
Cosa monitorare ora
Il report di Bonzo indica che gli interventi immediati si sono concentrati sul livello di verifica dell'oracle, con Supra che parla di una correzione già distribuita. Investitori e sviluppatori seguiranno con attenzione se la nuova verifica impedirà bypass analoghi su firme e validazione dei price feed anche in altre integrazioni, e se seguiranno ulteriori audit o cambi di provider oracle mentre la DeFi continua a fare i conti con incidenti di sicurezza.
Questo articolo è stato pubblicato originariamente con il titolo "Bonzo Lend Reports $9M Loss After Oracle Exploit on Hedera" su Crypto Breaking News – fonte di riferimento per notizie su crypto, Bitcoin e aggiornamenti blockchain.