Lỗ hổng oracle khiến Bonzo Lend trên Hedera thiệt hại khoảng 9 triệu USD
Tóm tắt thị trường bằng AI
Bonzo Lend trên Hedera báo cáo một vụ khai thác do oracle điều khiển gây ra khoảng 9 triệu USD thiệt hại sau khi một bản cập nhật giá SAUCE bị thao túng (vẫn được chấp nhận dù chữ ký đã bị đặt về 0) cho phép vay quá mức USDC và HBAR được bọc. Dù Bonzo cho biết các hợp đồng cốt lõi và mạng cơ sở của Hedera không có lỗi, sự cố này nhấn mạnh những rủi ro lặp lại về định giá tài sản thế chấp trong DeFi và việc xác thực oracle, nhiều khả năng gây áp lực lên niềm tin đối với thanh khoản DeFi và các tích hợp dựa trên Hedera.
Mức ảnh hưởng
● Trung bình
Tài sản bị ảnh hưởng
HBAR/USDT-0.73%
Quan điểm AI · HBAR/USDTQuan điểm AI
▼ Giá giảm
Khám phá ngay
⚠️ Nhận định từ AI được tổng hợp từ tin tức và chỉ có giá trị tham khảo. Đây không phải là lời khuyên đầu tư và không thể hiện quan điểm của BingX. Đầu tư luôn đi kèm rủi ro. Vui lòng giao dịch có trách nhiệm.
Bonzo Lend, một giao thức cho vay xây dựng trên Hedera, cho biết đã chịu thiệt hại khoảng 9 triệu USD sau khi kẻ tấn công thao túng giá của một token tài sản thế chấp có giá trị thấp mà hệ thống chấp nhận. Theo mô tả, vụ việc biến một khoản nạp nhỏ thành “hạn mức” vay vượt xa giá trị thực, qua đó rút cạn thanh khoản của pool cho vay.
Trong báo cáo sự cố sơ bộ đăng hôm thứ Bảy trên website của Bonzo, giao thức cho biết lỗi phát sinh từ cơ chế oracle: kẻ tấn công gửi một bản cập nhật giá được “chế tác” cho tài sản thế chấp SAUCE, thổi phồng giá trị được ghi nhận lên khoảng 12 bậc độ lớn. Khi định giá bị phóng đại này được chấp nhận, đối tượng đã vay 6,63 triệu USDC và 34,5 triệu wrapped HBAR.
Những điểm chính
- Bonzo Lend ước tính tác động kinh tế của sự cố khoảng 9 triệu USD, bắt nguồn từ việc thao túng định giá tài sản thế chấp.
- Giao thức quy lỗi gốc cho bộ xác minh oracle on-chain của Supra đã chấp nhận một bản cập nhật mang chữ ký bị đưa về 0.
- Chỉ với khoản nạp ban đầu 250 SAUCE (theo Bonzo, bình thường chỉ trị giá vài USD), kẻ tấn công có thể vay lượng tài sản trị giá hàng triệu USD sau khi giá SAUCE trên oracle bị thổi phồng.
- Bonzo nhấn mạnh đây không phải là lỗ hổng trong smart contract của Bonzo Lend hay mạng lõi Hedera, mà là vấn đề xác thực oracle ở tầng thượng nguồn.
- Sự cố gợi lại một vụ khai thác tương tự trên Stellar đầu năm nay, cho thấy mô-típ rủi ro DeFi lặp đi lặp lại liên quan đến định giá tài sản thế chấp.
Khi một mức giá sai trở thành tài sản thế chấp “có thật”
Báo cáo của Bonzo mô tả chuỗi hành động nhằm tận dụng cách các nền tảng cho vay chuyển đổi giá oracle thành sức vay. Theo đó, kẻ tấn công bắt đầu bằng việc gửi 250 SAUCE. Điểm then chốt là bản cập nhật giá khiến SAUCE bị đội lên khoảng 12 bậc độ lớn thông qua cơ chế oracle tích hợp. Sau khi hệ thống tiếp nhận mức giá này, logic định giá tài sản thế chấp phản ánh con số bị thổi phồng, cho phép tài khoản vay ra lượng tài sản không tương xứng với phần thế chấp ban đầu. Bonzo cho biết các khoản vay gồm 6,63 triệu USDC và 34,5 triệu wrapped HBAR.
Diễn biến này nêu bật một “kiểu hỏng” quen thuộc trong DeFi: khi oracle cung cấp mức giá bị thao túng cho hệ thống cho vay, giao thức vẫn có thể vận hành đúng theo thiết kế nhưng lại tạo điều kiện để rút tiền ở quy mô lớn.
Sự cố ở bộ xác minh oracle theo đánh giá của Bonzo
Bonzo không đổ lỗi cho logic cho vay mà coi đây là vấn đề xác thực oracle. Giao thức cho biết nguyên nhân đến từ lỗi trong bộ xác minh oracle on-chain của Supra; theo Bonzo, thành phần này đã chấp nhận giá SAUCE bị thao túng dù bản cập nhật mang chữ ký bị đưa về 0. Bonzo cũng cho biết Supra đã thừa nhận sự cố và triển khai bản vá.
Bonzo đồng thời nhấn mạnh vụ việc không phải là lỗ hổng của hợp đồng Bonzo Lend hay của mạng lõi Hedera. Với người dùng và các bên tích hợp, sự phân định này có ý nghĩa vì nó chuyển trọng tâm sang các giả định về độ tin cậy và an ninh của hạ tầng oracle, cũng như mức đảm bảo mà giao thức cho vay kỳ vọng từ nguồn cấp giá. Ngay cả khi mã ứng dụng không sai, một lớp oracle thất bại trong kiểm tra chữ ký (hoặc không bảo đảm tính toàn vẹn dữ liệu) vẫn có thể phá vỡ toàn bộ mô hình rủi ro.
Vì sao khai thác định giá tài sản thế chấp liên tục tái diễn trong DeFi
Sự cố của Bonzo diễn ra trong bối cảnh áp lực an ninh DeFi kéo dài sang năm 2026. Cointelegraph từng cho biết quý II là quý bị tấn công nhiều nhất tính theo số vụ, ghi nhận 83 vụ khai thác và khoảng 755 triệu USD bị đánh cắp, trong đó các vụ liên quan cầu nối cross-chain chiếm 351 triệu USD. Bài viết cũng nêu các cuộc tấn công chiếm quyền quản trị và thao túng giá token giả cộng lại chiếm 37% thiệt hại theo quý.
Ngoài số liệu sự cố, niềm tin người dùng được xem là biến số then chốt. Cointelegraph cũng đưa tin tổng giá trị khóa (TVL) của DeFi giảm 39% xuống hơn 70 tỷ USD vào tháng 6/2026, từ khoảng 115 tỷ USD hồi tháng 1. Dữ liệu CryptoRank được trích dẫn trong cùng mạch thông tin cho thấy 121 vụ hack và khoảng 942 triệu USD thiệt hại trong giai đoạn này, hàm ý các sự cố an ninh lặp lại có thể đã thúc đẩy dòng vốn rút ra.
Vụ Bonzo phù hợp với xu hướng đó: các cuộc tấn công can thiệp đầu vào định giá thường vượt qua các lớp phòng vệ “truyền thống” vì chúng khai thác quy tắc kinh tế của hệ thống thay vì phá trực tiếp hợp đồng lõi. Khi thị trường cho vay phụ thuộc vào định giá tài sản thế chấp chính xác, tầng oracle trở thành mục tiêu giá trị cao; chỉ một lần kiểm tra tính toàn vẹn thất bại cũng có thể kích hoạt cơ chế vay giống “rút thanh khoản” mà không bị giới hạn hiệu quả bởi các rào chắn thanh lý.
Kịch bản tương tự trên Stellar đầu năm nay
Bonzo cũng liên hệ sự cố với một vụ khai thác tương tự trên Stellar vào đầu năm 2026. Tháng 2, kẻ tấn công đã rút khoảng 10 triệu USD khỏi một pool cho vay do YieldBlox DAO quản lý sau khi thao túng lộ trình giá được dùng để định giá tài sản thế chấp USTRY, từ đó vay vượt xa giá trị thực của tài sản.
Dù xảy ra ở hai hệ sinh thái khác nhau, cơ chế chung khá tương đồng: kẻ tấn công tập trung vào cách giá tài sản thế chấp được tính toán và “được tin cậy”, sau đó dùng định giá bị bóp méo để rút thanh khoản. Hai trường hợp củng cố nhận định rằng tính toàn vẹn của định giá tài sản thế chấp không phải rủi ro ngách, mà là một trong những điểm yếu dễ lặp lại nhất của các hệ thống cho vay có thế chấp.
Từ góc nhìn vận hành, câu hỏi đặt ra cho các đội xây dựng là: cần mức bảo chứng nào từ nhà cung cấp oracle, và cơ chế giám sát hay phương án dự phòng nào được kích hoạt khi tính toàn vẹn giá bị phá vỡ. Bonzo nhấn mạnh kiểm tra chữ ký là lớp bảo vệ trọng yếu, đồng thời hàm ý việc thực thi phải đủ chặt để không thể bị vượt qua bằng các bản cập nhật sai định dạng hoặc không được ủy quyền.
Đối với người dùng DeFi và các nhà vận hành giao thức, điểm cần theo dõi tiếp theo là cách các nhà cung cấp oracle và bên tích hợp kiểm chứng hiệu quả bản vá sau sự cố, đặc biệt ở các tình huống biên như chữ ký không hợp lệ, và liệu các thị trường cho vay có điều chỉnh tham số rủi ro nhằm ứng phó với các trục trặc ở tầng oracle hay không.
Bài viết gốc được đăng với tiêu đề Oracle Exploit Wipes $9M From Bonzo Lend on Hedera trên Crypto Breaking News – nguồn cập nhật tin crypto, Bitcoin và blockchain.