オラクル悪用でHedera系Bonzo Lendから約900万ドル流出
AI マーケットサマリー
Hedera上のBonzo Lendは、操作されたSAUCE価格の更新(署名がゼロ化されていたにもかかわらず受理された)によりUSDCとラップドHBARの過大な借り入れが可能となり、約9百万ドルの損失を招いたオラクル主導のエクスプロイトを報告した。Bonzoは中核コントラクトおよびHederaのベースネットワークに過失はなかったとしているが、このインシデントはDeFiにおける担保価格設定とオラクル検証のリスクが繰り返し発生していることを浮き彫りにしており、HederaベースのDeFi流動性と統合に対する信認を圧迫する可能性が高い。
影響度
● 中
影響を受ける資産
HBAR/USDT-0.73%
AI インサイト · HBAR/USDTAI インサイト
▼ 弱気
今すぐ取引
⚠️ AI によって生成されたインサイトはニュースコンテンツに基づくものであり、情報提供のみを目的としています。投資助言を構成するものではなく、BingX の見解を示すものでもありません。投資にはリスクが伴います。責任ある取引を心がけてください。
Hedera基盤のレンディングプロトコル「Bonzo Lend」は、システムで担保として使われる低流動性トークンの価格が不正に操作され、約900万ドル相当の損失が発生したと明らかにした。攻撃者は少額の入金を元手に、担保価値を大きく上回る借り入れ枠を得てレンディングプールの流動性を引き出したという。
Bonzoが土曜日に自社サイトで公開した暫定のインシデント報告によると、問題はオラクル起因の検証不備だった。攻撃者はSAUCE担保に関する細工した価格更新を投入し、報告価格を約12桁(12 orders of magnitude)押し上げた。水増しされた評価が反映された後、攻撃者は6.63百万USDCと34.5百万wrapped HBARを借り入れたとしている。
Bonzoが挙げた要点は以下の通り。損失の経済的影響は約900万ドルで、担保価格の操作が引き金になった。根本原因は、Supraのオンチェーン・オラクル検証機構(verifier)が、署名がゼロ化された更新を受け入れた点にあるとした。初期の入金は250 SAUCEで、通常の価格なら数ドル相当の規模だったが、オラクル報告価格が膨張したことで数百万ドル規模の資産を借りられたという。Bonzoは、Bonzo LendのスマートコントラクトやHederaの基盤ネットワーク自体の欠陥ではなく、上流のオラクル検証の問題だと説明した。また、同種の担保評価操作による攻撃が今年初めにStellarでも起きたことに触れ、DeFiにおける繰り返し型のリスクだと位置付けた。
報告書では、レンディングがオラクル価格を担保価値と借入余力に変換する仕組みを突いた一連の手口が説明されている。攻撃者はまず250 SAUCEを預け入れ、続いてプロトコルに統合されたオラクル経由でSAUCE価格を約12桁つり上げる価格更新を送信。これが受理されると、担保評価ロジックが膨張価格を前提に動作し、初期担保に見合わない借入が可能になった。結果として6.63百万USDCと34.5百万wrapped HBARの借入が発生したという。
Bonzoはレンディング側のロジックではなく、オラクルの検証工程に焦点を当てる。Supraのオンチェーン・オラクルverifierが、署名がゼロ化されたにもかかわらず操作されたSAUCE価格を受け入れたことが原因だとし、Supraは問題を認識して修正を展開したとも述べた。Bonzoは同時に、Bonzo LendのコントラクトやHedera中核ネットワークに脆弱性があったわけではないと強調する。利用者や統合先にとっては、価格フィードに求める保証と、オラクル基盤への信頼前提がどこに置かれているかが問われる事案となる。アプリ層のコードが正しくても、署名検証などデータ完全性の担保が崩れれば、リスクモデル全体が破綻し得る。
DeFiでは2026年に入ってもセキュリティ面の逆風が続いている。Cointelegraphは、攻撃件数ベースで第2四半期が過去最多となり、83件のエクスプロイトで約7.55億ドルが盗まれ、クロスチェーン・ブリッジ関連だけで3.51億ドルを占めたと報じた。さらに、管理者権限の侵害と偽トークンの価格操作が、四半期損失の37%を構成したという。信頼低下は資金流出にも波及しているとされ、DeFiのTVL(Total Value Locked)は2026年1月の約1,150億ドルから同年6月に700億ドル超へと39%減少したとの報道もある。別途、同報道で引用されたCryptoRankのデータでは、同期間に121件のハックと約9.42億ドルの損失が示され、セキュリティ事案の反復が資本流出を強めた可能性がある。
Bonzoの件も、この流れに沿う。価格入力を改ざんする攻撃は、コントラクトを直接破壊せず、経済ルールそのものを逆手に取るため、従来型の防御をすり抜けやすい。担保評価の正確性に依存するレンディング市場では、オラクル層が高価値ターゲットとなり、単一の整合性チェック失敗が、清算制約を伴わない形での借入メカニズム発動につながり得る。
またBonzoは、2026年2月にStellar上で起きた類似事例にも言及している。YieldBlox DAOが管理するレンディングプールで、USTRY担保の評価に用いられる価格経路が操作され、約1,000万ドルが流出したという。エコシステムは異なるものの、担保価格の算出・信頼プロセスを突き、歪んだ評価を使って流動性を引き出すという点で手口は一致する。
今回の事案は、担保価格の完全性がレンディングと担保型借入における最も再現性の高い脆弱点の一つであることを改めて示した。開発側には、オラクル提供者に求める保証、価格異常時の監視やフォールバック戦略が問われる。Bonzoは署名検証を重要な防護策として位置付けており、不正・欠損した更新で迂回されない強固な実装が不可欠だと示唆する。今後の焦点は、オラクル提供者と統合先が修正の検証をどう進めるか、無効署名などのエッジケースでverifierの挙動を強化できるか、レンディング市場がオラクル層の障害を踏まえてリスクパラメータを見直すかに移る。