Атака через оракул вывела около $9 млн из Bonzo Lend на Hedera

Сводка рынка от ИИ
Bonzo Lend на Hedera сообщил об эксплойте, обусловленном оракулом, который привёл примерно к $9 млн убытков после манипулированного обновления цены SAUCE (принятого несмотря на обнулённую подпись), что позволило чрезмерно занять USDC и обёрнутый HBAR. Хотя Bonzo утверждает, что основные контракты и базовая сеть Hedera не были виноваты, инцидент подчёркивает повторяющиеся риски в DeFi, связанные с ценообразованием обеспечения и валидацией оракулов, что, вероятно, окажет давление на доверие к ликвидности и интеграциям DeFi на базе Hedera.
Степень влияния
● Средний
Затронутые активы
HBAR/USDT-0.69%
Инсайт ИИ · HBAR/USDTИнсайт ИИ
▼ Медвежий
Торговать
⚠️ Инсайты, сгенерированные ИИ, основаны на новостном контенте и предоставляются исключительно в информационных целях. Они не являются инвестиционной рекомендацией и не отражают позицию BingX. Торговля сопряжена с риском. Пожалуйста, торгуйте ответственно.
Кредитный протокол Bonzo Lend в экосистеме Hedera сообщил о потерях примерно на $9 млн после того, как злоумышленник исказил цену низколиквидного токена, используемого как залог. По данным проекта, манипуляция позволила превратить небольшой депозит в возможность занять активов на сумму, многократно превышающую реальную стоимость обеспечения, и вывести ликвидность из пула. В предварительном отчете об инциденте, опубликованном в субботу на сайте Bonzo, говорится о сбое, связанном с оракулом: атакующий отправил специально сформированное обновление цены по залогу SAUCE, завысив отображаемую стоимость примерно на 12 порядков. После фиксации завышенной оценки злоумышленник занял 6,63 млн USDC и 34,5 млн wrapped HBAR. Ключевые факты - Bonzo Lend оценивает экономический ущерб примерно в $9 млн; причиной стала манипуляция ценой залога. - Первопричина, по версии Bonzo, в том, что on-chain верификатор оракула Supra принял обновление с обнуленной подписью. - Для запуска схемы хватило небольшого депозита — 250 SAUCE; после раздувания цены через оракул стало возможно занять миллионы. - Проект подчеркивает: речь не о баге смарт-контрактов Bonzo Lend и не о проблеме базовой сети Hedera, а о сбое в проверке данных на стороне оракульной инфраструктуры. - Инцидент напоминает схожую атаку на Stellar ранее в этом году и вновь показывает системный риск DeFi, связанный с целостностью ценовых данных. Как «плохая» цена превратилась в «реальный» залог В отчете Bonzo описывает типичный для кредитных платформ сценарий: оракульная цена конвертируется в лимит заимствования. По данным протокола, атакующий начал с депозита 250 SAUCE, который при нормальной цене стоит всего несколько долларов. Затем он отправил обновление, резко завысившее стоимость SAUCE примерно на 12 порядков через оракульный механизм, интегрированный в протокол. После того как искаженная цена была принята, логика оценки залога начала учитывать завышенное значение. Это дало аккаунту возможность брать займы, несоразмерные исходному обеспечению. Bonzo указывает, что итоговые заимствования включали 6,63 млн USDC и 34,5 млн wrapped HBAR. Ситуация иллюстрирует характерный риск DeFi: протокол может работать «как задумано», но при попадании подмененной цены из оракула экономические правила системы превращаются в инструмент вывода средств. На что указывает Bonzo: сбой верификатора оракула Bonzo не считает, что проблема была в кредитной логике. Проект заявляет, что уязвимость возникла из-за дефекта в on-chain верификаторе оракула Supra, который, по утверждению Bonzo, принял манипулированную цену SAUCE, хотя обновление содержало обнуленную подпись. Также сообщается, что Supra признала проблему и выпустила исправление. Bonzo отдельно отмечает, что инцидент не связан с уязвимостью в контрактах Bonzo Lend или в ядре сети Hedera. Для пользователей и интеграторов это принципиально: фокус смещается на надежность оракульной инфраструктуры и на то, какие гарантии целостности данных должен получать протокол от источников цен. Почему атаки через цены залога повторяются Инцидент укладывается в общую картину давления на безопасность DeFi в 2026 году. Cointelegraph ранее писал, что во втором квартале был зафиксирован рекорд по числу инцидентов: 83 эксплойта и около $755 млн похищенных средств, при этом на взломы кроссчейн-мостов пришлось $351 млн. В той же публикации отмечалось, что атаки с компрометацией администраторов и манипуляции ценами фейковых токенов суммарно дали 37% квартальных потерь. На фоне серии взломов падает и доверие. Cointelegraph также сообщал, что совокупный TVL в DeFi в июне 2026 года снизился на 39% — до более чем $70 млрд — по сравнению с примерно $115 млрд в январе. Отдельно в той же повестке приводились данные CryptoRank: 121 взлом и около $942 млн потерь за сопоставимый период, что может указывать на усиление оттока капитала из-за повторяющихся инцидентов. История с Bonzo типична для атак на ценовые входные данные: злоумышленники обходят «классические» меры защиты, используя экономику протокола, а не ломая его ядро. Когда рынок кредитования завязан на корректную оценку залога, оракул становится высокоценной целью, и одного сбоя проверки целостности может быть достаточно для запуска механики заимствования, похожей на "ликвидационную", но без ограничителей. Похожий сценарий на Stellar Bonzo также напоминает о похожем случае в экосистеме Stellar в начале 2026 года. В феврале злоумышленники вывели около $10 млн из кредитного пула YieldBlox (управляемого DAO), манипулировав ценовым маршрутом, используемым для оценки залога USTRY. Это позволило занимать средства сверх реальной стоимости обеспечения. Оба эпизода, несмотря на разные сети, построены на одной логике: атакующие бьют по тому, как формируется и проверяется цена залога, а затем используют искаженные оценки для вывода ликвидности. Эти случаи подчеркивают, что целостность цен залога — один из наиболее повторяемых рисков в системах кредитования. Для рынка теперь важны два вопроса: как провайдеры оракулов и интеграторы подтверждают эффективность исправлений после таких событий, и будут ли протоколы пересматривать риск-параметры с учетом сбоев на оракульном уровне — особенно в пограничных сценариях вроде недействительных подписей. Материал впервые был опубликован под заголовком "Oracle Exploit Wipes $9M From Bonzo Lend on Hedera" на Crypto Breaking News.