Bonzo Lend повідомив про збитки близько $9 млн після атаки на оракул у мережі Hedera
Ринкове зведення ШІ
Втрата Bonzo Lend на Hedera в розмірі приблизно $9 млн підкреслює стійкий ризик DeFi, пов'язаний з оракулами та верифікацією цін, після того як маніпульоване оновлення SAUCE дозволило непропорційно великі запозичення USDC та загорнутого HBAR. Хоча Bonzo стверджує, що її контракти та ядро Hedera не були винні, інцидент підтверджує, як збої сторонніх верифікаторів оракулів можуть швидко підірвати платоспроможність пулів кредитування та довіру. Ширший фон підвищеної частоти експлойтів може посилити короткострокову схильність до уникнення ризику в DeFi.
Рівень впливу
● Середній
Активи, яких стосується
BTC/USDT-0.02%
Інсайт ШІ · BTC/USDTІнсайт ШІ
▼ Ведмежий
Торгувати
⚠️ Інсайти, згенеровані ШІ, ґрунтуються на новинних матеріалах і надаються виключно з інформаційною метою. Вони не є інвестиційною порадою та не відображають поглядів BingX. Інвестування пов’язане з ризиком. Будь ласка, торгуйте відповідально.
Кредитний протокол Bonzo Lend у екосистемі Hedera зазнав орієнтовних втрат на рівні близько $9 млн після того, як зловмисник використав механізм ціноутворення токена для оцінки застави. За даними попереднього звіту про інцидент, оприлюдненого в суботу, атакувальник маніпулював ціною SAUCE, що надходила через оракульний фід, і завдяки завищеній оцінці зміг позичити з пулу ліквідності суму, яка суттєво перевищувала реальну вартість внесеної застави.
Bonzo зазначає, що атака почалася з внесення 250 SAUCE як забезпечення — за звичайної оцінки це лише кілька доларів. Далі зловмисник подав оновлення ціни, піднявши відображувану вартість SAUCE приблизно на 12 порядків. Після цього протокол дозволив запозичення на 6,63 млн USDC та 34,5 млн wrapped HBAR.
Ключові висновки зі звіту Bonzo такі: економічний ефект оцінено приблизно в $9 млн; першопричину пов'язують із тим, що ончейн-верифікатор оракула Supra прийняв підмінене оновлення ціни із "обнуленим" підписом; при цьому Bonzo наголошує, що інцидент не був спричинений вразливістю у власних контрактах і не стосувався базової мережі Hedera. Ситуація знову підкреслює типову проблему DeFi: слабка ланка в оракулах здатна перетворити маловартісну заставу на інструмент для виведення ліквідності. У звіті також згадується схожий кейс на Stellar на початку 2026 року.
Як невелика застава призвела до значного відтоку ліквідності
У Bonzo описують експлойт як атаку на оцінку застави. Лендингові протоколи визначають ліміти запозичень на основі цінових фідів; якщо оракул можна підмінити або логіка перевірки виявляється недостатньою, фактичні обмеження за заставою перестають працювати. За версією Bonzo, гаманець зловмисника діяв у два кроки: спочатку вніс 250 SAUCE, а потім подав оновлення ціни із завищенням приблизно на 12 порядків. Коли система "повірила" в різко більшу вартість SAUCE, вона дозволила забрати з пулу значно більше, ніж міг би забезпечити початковий депозит. Підсумок Bonzo фіксує як позику на 6,63 млн USDC і 34,5 млн wrapped HBAR.
Збій у верифікаторі оракула Supra
Bonzo пов'язує інцидент із дефектом у ончейн-верифікаторі оракула Supra. За твердженням протоколу, верифікатор прийняв підмінене оновлення ціни SAUCE з нульовим підписом, що дозволило оновити фід без належної криптографічної валідації. Bonzo також повідомив, що Supra підтвердив проблему і розгорнув виправлення. Окремо підкреслюється, що це не була вразливість контрактів Bonzo Lend і не проблема базової мережі Hedera.
Для користувачів та інтеграторів цей розподіл відповідальності важливий: навіть за стабільної логіки кредитування і консенсусу мережі сторонні оракульні компоненти або їхні шари перевірки можуть створювати критичні прогалини в безпеці. Інцидент також нагадує, що захист оракулів — це не лише коректні ціни, а й гарантії автентичності та стійкості фідів до підміни.
Чому подібні інциденти стають системним ризиком для DeFi
Експлойт Bonzo відбувається на тлі посиленої уваги до безпеки DeFi. Cointelegraph раніше повідомляв, що другий квартал став найгіршим за кількістю інцидентів: 83 експлойти та близько $755 млн викрадених коштів. У цій статистиці атаки на кросчейн-мости становили $351 млн, а компрометація адміністраторів і маніпуляції цінами фейкових токенів разом сформували 37% квартальних втрат.
Дані по ринку також свідчать про тиск на сектор. За інформацією Cointelegraph, у червні загальна заблокована вартість у DeFi (TVL) знизилася на 39% — до понад $70 млрд проти приблизно $115 млрд у січні. CryptoRank зафіксував 121 злам і близько $942 млн збитків за період, що може вказувати на те, що повторювані інциденти підривають довіру користувачів і стимулюють відтік капіталу з окремих сегментів.
У цьому контексті маніпуляції заставою через оракули виглядають знайомим сценарієм: атакувальники б'ють по механізму, який забезпечує ризик-модель протоколу. Коли руйнуються цінові припущення, ліквідаційні запобіжники та параметри застави можуть не захистити постачальників ліквідності.
Маніпуляція оракульними цінами — не новина: схожий кейс у Stellar
У звіті Bonzo також проведено паралелі з іншим інцидентом на Stellar. У лютому зловмисники вивели близько $10 млн із керованого DAO лендингового пулу YieldBlox після маніпуляції ціновою траєкторією, яка використовувалася для оцінки застави USTRY, що відкрило шлях до запозичень понад реальну вартість забезпечення. Cointelegraph описував цей випадок, відзначаючи схожий підхід: змінити цінові вхідні дані, яким протокол довіряє при розрахунку застави.
Повторюваність таких атак важлива: у міру розширення DeFi на різні мережі та типи активів слабке місце часто лишається незмінним. Системи, що залежать від зовнішнього ціноутворення, мають сприймати валідацію оракулів як критичну інфраструктуру безпеки, а не як стандартний "комодіті" компонент.
Що відстежувати далі
Зі звіту Bonzo випливає, що першочергові роботи з виправлення були зосереджені на шарі верифікації оракула, а Supra заявив про розгорнуте рішення. Ринку варто стежити, чи справді оновлена перевірка запобігатиме обходу валідації підписів або цінових фідів в інших інтеграціях, а також чи послідують додаткові аудити або зміни провайдера оракула на тлі триваючих інцидентів у DeFi.