Атака через оракул вивела з Bonzo Lend на Hedera близько $9 млн
Ринкове зведення ШІ
Bonzo Lend на Hedera повідомив про експлойт, керований оракулом, що спричинив приблизно $9 млн збитків після маніпульованого оновлення ціни SAUCE (прийнятого попри занулений підпис), яке дозволило непропорційно велике запозичення USDC і загорнутого HBAR. Хоча Bonzo стверджує, що ключові контракти та базова мережа Hedera не були винні, інцидент підкреслює повторювані ризики ціноутворення застави в DeFi та валідації оракулів, імовірно посилюючи тиск на довіру до DeFi-ліквідності та інтеграцій на базі Hedera.
Рівень впливу
● Середній
Активи, яких стосується
HBAR/USDT-0.73%
Інсайт ШІ · HBAR/USDTІнсайт ШІ
▼ Ведмежий
Торгувати
⚠️ Інсайти, згенеровані ШІ, ґрунтуються на новинних матеріалах і надаються виключно з інформаційною метою. Вони не є інвестиційною порадою та не відображають поглядів BingX. Інвестування пов’язане з ризиком. Будь ласка, торгуйте відповідально.
Кредитний протокол Bonzo Lend, що працює в екосистемі Hedera, повідомив про втрати орієнтовно на $9 млн після атаки, в якій зловмисник маніпулював ціною малоліквідного токена застави. За оцінкою команди, через спотворення оціночної вартості забезпечення нападнику вдалося перетворити невеликий депозит на можливість позичити активів на суми, що багаторазово перевищували реальну вартість застави, і викачати ліквідність з пулу.
У попередньому звіті про інцидент, опублікованому в суботу на сайті Bonzo, протокол описав збій у механізмі, що спирався на оракул: зловмисник подав спеціально сформоване оновлення ціни для застави SAUCE, завищивши її відображувану вартість приблизно на 12 порядків. Після того як система прийняла цю оцінку, нападник, за даними Bonzo, позичив 6,63 млн USDC та 34,5 млн wrapped HBAR.
Bonzo Lend оцінює економічний ефект події приблизно у $9 млн і пов'язує його з маніпуляцією ціною заставного активу. Первинною причиною протокол називає те, що ончейн-верифікатор оракула Supra прийняв оновлення з "обнуленим" підписом. За твердженням Bonzo, стартового депозиту в 250 SAUCE вистачило, аби після завищення оракульної ціни отримати позики на мільйони. Команда наголошує: це не вразливість смартконтрактів Bonzo Lend і не проблема базової мережі Hedera, а збій перевірки даних на рівні оракульної інфраструктури. У Bonzo також проводять паралель зі схожою атакою на Stellar на початку року, що підкреслює повторюваний ризик у DeFi.
Як "погана" ціна перетворилася на реальну заставу
У звіті Bonzo описано типову для кредитних платформ послідовність: оракульні котирування напряму визначають запозичувальну спроможність акаунта. За даними протоколу, зловмисник спочатку вніс 250 SAUCE, які за нормальних умов коштують лише кілька доларів. Далі він через інтегрований оракульний механізм надіслав оновлення, що підняло ціну SAUCE приблизно на 12 порядків. Після прийняття такого апдейту логіка оцінки застави зафіксувала завищену вартість, і акаунт отримав змогу позичати суми, непропорційні внесеному забезпеченню. Bonzo вказує, що підсумкові запозичення включали 6,63 млн USDC і 34,5 млн wrapped HBAR.
Ситуація ілюструє поширений сценарій провалів у DeFi: протокол може працювати "за правилами", але якщо в систему потрапляє маніпульована ціна з оракула, економічні обмеження перетворюються на механізм для виведення коштів.
На що вказує Bonzo: збій верифікатора оракула
Bonzo акцентує, що проблема не в кредитній логіці як такій, а в перевірці достовірності оракульних даних. За версією протоколу, дефект був у ончейн-верифікаторі оракула Supra: він прийняв маніпульовану ціну SAUCE, хоча оновлення містило "нульовий" підпис. Bonzo також повідомив, що Supra визнала проблему і розгорнула виправлення. Водночас команда підкреслила відсутність уразливості в контрактах Bonzo Lend та в ядровій мережі Hedera.
Для користувачів і інтеграторів це розмежування важливе: фокус переходить на надійність припущень щодо оракульної інфраструктури та гарантій, які мають забезпечувати прайс-фіди. Навіть коректний прикладний код не рятує, якщо оракульний шар не відсікає невалідні підписи або іншим чином не забезпечує цілісність даних.
Чому маніпуляції з ціною застави знову і знову б'ють по DeFi
Інцидент із Bonzo відбувся на тлі загального тиску на безпеку DeFi у 2026 році. Cointelegraph раніше повідомляв, що другий квартал став рекордним за кількістю інцидентів: 83 експлойти та близько $755 млн викрадених коштів, при цьому атаки на кросчейн-мости припали на $351 млн. У тому ж матеріалі зазначалося, що атаки через компрометацію адміністраторів та маніпуляції цінами фейкових токенів разом сформували 37% квартальних втрат.
Окремо Cointelegraph писав про падіння сукупної заблокованої вартості (TVL) у DeFi на 39% — до понад $70 млрд у червні 2026 року з близько $115 млрд у січні. Дані CryptoRank, наведені в тому ж контексті, вказували на 121 злам і приблизно $942 млн втрат за той самий період, що може свідчити: повторювані інциденти посилювали відтік капіталу.
Кейс Bonzo вписується в цю картину: атаки на цінові вхідні дані часто обходять "традиційні" захисти, бо експлуатують економічні правила системи, а не ламають базові контракти. Коли ринок позик залежить від коректної оцінки застави, оракул стає високовартісною ціллю, і одного провалу перевірки цілісності даних може вистачити, щоб запустити механіку позик на умовах, схожих на ліквідаційні, але без стримувальних обмежень.
Схожий сценарій на Stellar на початку року
У звіті Bonzo також згадується подібний експлойт у мережі Stellar на початку 2026 року. У лютому зловмисники вивели близько $10 млн із кредитного пулу YieldBlox, керованого DAO, після маніпуляції шляхом ціноутворення, який використовувався для оцінки застави USTRY. Це дало змогу позичати понад реальну вартість забезпечення. Попри різні екосистеми, механіка збігається: фокус на тому, як обчислюється та якому джерелу довіряє система при визначенні вартості застави, після чого ліквідність виводиться через завищені оцінки.
У сукупності ці інциденти підкреслюють, що цілісність цін на заставу — не нішевий ризик, а одна з найвідтворюваніших уразливостей у кредитуванні та забезпечених позиках. Для розробників це перетворюється на практичне питання: які гарантії потрібні від провайдерів оракулів, які механізми моніторингу та резервні сценарії мають спрацьовувати при збої цінової цілісності. У випадку Bonzo ключовим запобіжником названо перевірку підписів — і необхідність її безумовного застосування, щоб некоректні або неавторизовані оновлення не могли пройти.
Матеріал уперше вийшов під заголовком Oracle Exploit Wipes $9M From Bonzo Lend on Hedera на Crypto Breaking News.