Falha em oráculo permite ataque e causa perda de US$ 9 milhões no Bonzo Lend, da Hedera
Resumo de mercado por IA
A Bonzo Lend na Hedera relatou um exploit impulsionado por oráculo que causou aproximadamente US$ 9 milhões em perdas, após uma atualização manipulada de preço do SAUCE (aceita apesar de uma assinatura zerada) ter permitido um empréstimo desproporcional de USDC e HBAR wrapped. Embora a Bonzo diga que os contratos centrais e a rede base da Hedera não tiveram culpa, o incidente ressalta riscos recorrentes de precificação de colateral em DeFi e validação de oráculos, provavelmente pressionando a confiança na liquidez e nas integrações DeFi baseadas na Hedera.
Nível de impacto
● Médio
Ativos afetados
HBAR/USDT-0.69%
Insight de IA · HBAR/USDTInsight de IA
▼ Baixista
Negociar agora
⚠️ Os insights gerados por IA são baseados em conteúdo de notícias e fornecidos apenas para fins informativos. Eles não constituem aconselhamento de investimento nem representam as opiniões da BingX. Investir envolve riscos. Negocie com responsabilidade.
O protocolo de empréstimos Bonzo Lend, construído na rede Hedera, afirmou ter sofrido perdas de cerca de US$ 9 milhões após um ataque que manipulou o preço de um token de garantia de baixo valor usado pelo sistema. Segundo o relato, a exploração transformou um pequeno depósito na capacidade de tomar empréstimos muito acima do valor real da garantia, drenando a liquidez do pool.
Em um relatório preliminar publicado no sábado no site do Bonzo, o projeto descreveu uma falha "guiada por oráculo": o invasor teria enviado uma atualização de preço maliciosa para a garantia SAUCE, inflando o valor reportado em aproximadamente 12 ordens de magnitude. Com a cotação artificialmente elevada, o atacante tomou emprestados 6,63 milhões de USDC e 34,5 milhões de wrapped HBAR.
Principais pontos
• O Bonzo Lend estima o impacto econômico do incidente em cerca de US$ 9 milhões, desencadeado por manipulação do preço da garantia.
• A causa raiz, segundo o protocolo, foi o verificador de oráculo on-chain da Supra aceitar uma atualização com assinatura zerada.
• Um depósito inicial de 250 SAUCE, avaliado em poucos dólares em condições normais, teria sido suficiente para viabilizar empréstimos de milhões após a inflação do preço via oráculo.
• O Bonzo afirma que o episódio não decorre de falha nos smart contracts do Bonzo Lend nem na rede-base da Hedera, mas de um problema de validação no oráculo a montante.
• O caso segue um exploit semelhante de precificação de colateral na Stellar no início de 2026, reforçando um padrão recorrente de risco em DeFi.
Como um preço ruim virou garantia "real"
O relatório do Bonzo descreve um roteiro típico de exploração de como plataformas de crédito convertem preços de oráculos em poder de endividamento. De acordo com o protocolo, o atacante começou depositando 250 SAUCE. A etapa decisiva veio com o envio de uma atualização de preço que elevou drasticamente o valor do SAUCE — cerca de 12 ordens de magnitude — por meio do mecanismo de oráculo integrado.
Após a aceitação do dado manipulado, a lógica de avaliação de colateral passou a refletir a cotação inflada, liberando empréstimos desproporcionais à garantia efetivamente depositada. O Bonzo afirma que a tomada de recursos incluiu 6,63 milhões de USDC e 34,5 milhões de wrapped HBAR.
O episódio expõe um modo de falha comum em DeFi: quando um oráculo injeta um preço adulterado em um sistema de empréstimos, o protocolo pode operar "conforme projetado" e ainda assim permitir extração financeira de grande escala.
O que o Bonzo aponta como falha no verificador
Em vez de atribuir o problema à lógica de empréstimos, o Bonzo enquadra o incidente como uma falha de validação do oráculo. O protocolo disse que o verificador de oráculo on-chain da Supra aceitou um preço manipulado do SAUCE apesar de a atualização carregar uma assinatura zerada. O Bonzo também declarou que a Supra reconheceu o problema e implementou uma correção.
Ao mesmo tempo, o projeto reiterou que não se tratou de vulnerabilidade nos contratos do Bonzo Lend nem no núcleo da Hedera. Para usuários e integradores, a distinção é relevante: o foco recai sobre a confiabilidade da infraestrutura de oráculos e sobre quais garantias de integridade um protocolo de crédito espera receber dos feeds de preço. Mesmo com o código da aplicação correto, uma camada de oráculo que falha na validação de assinaturas (ou em controles de integridade de dados) pode comprometer todo o modelo de risco.
Por que exploits de preço de colateral continuam aparecendo
O incidente ocorre em meio à pressão contínua sobre a segurança de DeFi em 2026. A Cointelegraph relatou que o segundo trimestre foi o mais atacado já registrado em número de ocorrências, com 83 exploits e aproximadamente US$ 755 milhões roubados; ataques a bridges cross-chain responderam por US$ 351 milhões. A mesma cobertura destacou que ataques por administradores comprometidos e manipulação de preço de tokens falsos somaram 37% das perdas do trimestre.
Além das estatísticas, a confiança do usuário segue como variável central. A Cointelegraph também reportou que o total value locked (TVL) em DeFi caiu 39%, para mais de US$ 70 bilhões em junho de 2026, ante cerca de US$ 115 bilhões em janeiro. Separadamente, dados da CryptoRank citados nessa reportagem indicaram 121 hacks e aproximadamente US$ 942 milhões em perdas no mesmo período, sugerindo que a repetição de incidentes pode ter intensificado a saída de capital.
O caso do Bonzo se encaixa nesse padrão: ataques que alteram entradas de preço frequentemente contornam defesas "tradicionais" por explorarem regras econômicas do sistema, não necessariamente quebrando contratos centrais. Em mercados de crédito dependentes de avaliação correta de colateral, o oráculo vira alvo de alto valor, e uma única checagem de integridade malfeita pode bastar para acionar mecânicas de empréstimo com efeito similar a uma corrida por liquidez.
Um roteiro parecido na Stellar no início do ano
O relatório do Bonzo também remete a um exploit semelhante ocorrido na Stellar em 2026. Em fevereiro, atacantes drenaram cerca de US$ 10 milhões de um pool de empréstimos gerido por uma DAO, a YieldBlox, após manipular o caminho de preço usado para valorar o colateral USTRY. A adulteração permitiu tomar empréstimos acima do valor real da garantia.
Embora os episódios tenham ocorrido em ecossistemas diferentes, o mecanismo é convergente: atacar a forma como os preços de colateral são calculados e validados, usando avaliações distorcidas para extrair liquidez. Os casos reforçam que a "integridade da precificação do colateral" não é um risco periférico, mas uma das fragilidades mais repetíveis em sistemas de empréstimo e crédito colateralizado.
Para desenvolvedores, a questão prática é quais garantias exigir de provedores de oráculo e quais estratégias de monitoramento e fallback devem existir quando a integridade do preço falha. O relato do Bonzo coloca a validação de assinaturas como salvaguarda crítica — e, implicitamente, a necessidade de enforcement robusto contra atualizações malformadas ou não autorizadas.
Para usuários e operadores de protocolos, o ponto de atenção passa a ser como provedores de oráculo e integradores validam correções após incidentes desse tipo, em especial se fortalecem o comportamento do verificador em casos-limite como assinaturas inválidas, e se mercados de crédito ajustam parâmetros de risco em resposta a falhas na camada de oráculo.
Este artigo foi originalmente publicado como Oracle Exploit Wipes $9M From Bonzo Lend on Hedera no Crypto Breaking News — fonte de notícias sobre cripto, Bitcoin e blockchain.