Hedera上のBonzo Lend、オラクル悪用で約900万ドルの損失
AI マーケットサマリー
HederaにおけるBonzo Lendの約9,000,000ドルの損失は、操作されたSAUCEの更新によってUSDCおよびラップドHBARの過大な借入が可能になった後も、DeFiにおけるオラクルと価格検証のリスクが根強く残っていることを浮き彫りにしている。Bonzoは自社のコントラクトとHederaのコアに過失はなかったと主張しているが、この事案は、第三者のオラクル検証者の障害が融資プールの支払能力と信認を急速に損なう可能性があることを改めて示している。エクスプロイトの発生頻度が高止まりしているという広範な背景は、DeFi全体で短期的なリスク回避姿勢を強める可能性がある。
影響度
● 中
影響を受ける資産
BTC/USDT-0.04%
AI インサイト · BTC/USDTAI インサイト
▼ 弱気
今すぐ取引
⚠️ AI によって生成されたインサイトはニュースコンテンツに基づくものであり、情報提供のみを目的としています。投資助言を構成するものではなく、BingX の見解を示すものでもありません。投資にはリスクが伴います。責任ある取引を心がけてください。
Hedera基盤のレンディングプロトコル「Bonzo Lend」は、担保評価に用いるトークン価格メカニズムが突かれ、推定約900万ドルの損失を被った。攻撃者はオラクルフィード経由で「SAUCE」の価格を不正に操作し、預け入れた担保の実勢価値を大幅に上回る資金を流動性プールから借り入れたという。
Bonzoが土曜日に公開した暫定のインシデント報告によると、攻撃者はまず担保として250 SAUCEを入金。通常の評価では数ドル程度に過ぎないと説明されている。その後、SAUCEの報告価格を約12桁(12 orders of magnitude)つり上げる価格更新を提出し、システム上の担保価値を急膨張させた。この価格が反映された状態で、攻撃者はUSDC 663万ドル相当と、ラップドHBAR 3,450万を借り入れた。
Bonzoは今回の経済的影響を約900万ドルと見積もり、原因は「Supra」のオンチェーン・オラクル検証(verifier)にあるとした。改ざんされた価格更新が、署名がゼロ化された状態にもかかわらず受理され、適切な暗号学的検証なしに価格フィードが更新されたという。BonzoによればSupraは問題を認め、修正を展開済みだ。
一方でBonzoは、自社コントラクトの欠陥やHederaの基盤ネットワークの脆弱性が直接の原因ではないと強調した。レンディングのロジックやネットワークの合意形成が正常でも、第三者オラクルや検証層の不備が重大なセキュリティホールになり得る点を示す事例としている。オラクルの安全性は「正しい価格を届ける」だけでなく、フィードの真正性と耐改ざん性を強制する仕組みそのものが重要だという。
今回の件は、DeFiで繰り返される典型的な失敗パターンも浮き彫りにした。オラクルが弱点になると、低価値の担保が資金引き出しのレバーへと変わり、担保係数や清算設計が流動性提供者を守れなくなる。
DeFi全体ではセキュリティへの視線が一段と厳しくなっている。Cointelegraphは、インシデント件数ベースで第2四半期が過去最多となり、83件の攻撃で約7億5,500万ドルが盗まれたと報じた。内訳ではクロスチェーン・ブリッジが3億5,100万ドル、管理者権限の侵害や偽のトークン価格操作などが四半期損失の37%を占めたという。
エコシステム指標も重い。Cointelegraphは、DeFiのTVL(預かり資産)が6月に39%減の700億ドル超となり、1月の約1,150億ドルから縮小したと伝えた。CryptoRankは期間中のハッキングを121件、損失を約9億4,200万ドルと集計しており、相次ぐ事故が信頼低下と資金流出に影響した可能性がある。
オラクルを起点とする担保価格操作は新しい手口ではない。Bonzoの報告は、2026年にStellar上のレンディングプールで起きた同種の攻撃とも重なる。2月、攻撃者はUSTRY担保の評価に使われる価格経路を操作し、YieldBlox DAO管理のレンディングプールから約1,000万ドルを流出させた。レンディングが依拠する価格入力を書き換え、実態以上に借り入れ可能にする手法だ。
今後の焦点は、Supraが展開した修正により、署名や価格フィード検証の回避が他の統合先でも防げるかどうか、追加監査やオラクル提供元の見直しが進むかにある。DeFiのセキュリティ課題が続く中、外部価格に依存するプロトコルは、オラクル検証をセキュリティ上の中核インフラとして扱う必要性が改めて問われている。