預言機被操控致 Bonzo Lend 損失約900萬美元 Hedera 借貸池遭抽走流動性
AI 市場總結
Hedera 上的 Bonzo Lend 報告稱,因預言機驅動的漏洞利用而造成約 900 萬美元的損失,此前被操縱的 SAUCE 價格更新(即使簽名被清零仍被接受)使得 USDC 和 wrapped HBAR 的超額借貸成為可能。Bonzo 表示核心合約及 Hedera 的基礎網絡並無過失,但該事件凸顯 DeFi 中抵押品定價與預言機驗證風險的反覆出現,可能對基於 Hedera 的 DeFi 流動性與整合的信心造成壓力。
影響等級
● 中
主要受影響標的
HBAR/USDT-0.76%
AI 觀點 · HBAR/USDTAI 觀點
▼ 看空
立即交易
⚠️ AI觀點僅為演算法基於新聞內容的自動生成分析,不構成投資建議,不代表BingX立場。市場有風險,投資需謹慎。
Hedera 生態借貸協議 Bonzo Lend 表示,平台因抵押品代幣價格遭操控而蒙受約900萬美元損失。攻擊者透過拉高低價抵押品代幣的報價,將小額存款變成可借出遠超實際抵押價值的額度,最終抽乾借貸池流動性。
Bonzo 於周六在官網發布初步事件報告稱,事件屬預言機驅動的失效:攻擊者提交經特製的 SAUCE 抵押品價格更新,把其報價抬高約12個數量級。其後攻擊者在被放大估值支撐下,借出 6.63 百萬 USDC 及 34.5 百萬枚 wrapped HBAR。
重點摘要
- Bonzo Lend 估算事件的經濟影響約900萬美元,導火線為抵押品定價遭操控。
- 協議指根因在於 Supra 的鏈上預言機驗證器接納了一筆帶有「零化簽名」的更新。
- 攻擊者最初只存入 250 SAUCE,在預言機報價被拉高後即可借走數以百萬計資產。
- Bonzo 強調問題不在 Bonzo Lend 智能合約或 Hedera 底層網絡,而是上游預言機驗證環節。
- 事件與今年較早前 Stellar 上的同類抵押品定價攻擊相似,再次反映 DeFi 的重複性風險。
小額抵押如何被「變成」巨額借貸能力
Bonzo 的報告指出,攻擊流程利用借貸平台把預言機價格轉化為可借額度的機制。攻擊者先存入 250 SAUCE,按正常價格僅值數美元;關鍵一步是透過協議整合的預言機機制提交價格更新,把 SAUCE 價值拉高約12個數量級。當被操控的價格被系統接納後,協議對抵押品的估值隨即被放大,令攻擊者可以用與原始抵押不相稱的額度借款。Bonzo 指實際借出金額包括 6.63 百萬 USDC 與 34.5 百萬 wrapped HBAR。
事件凸顯 DeFi 常見故障模式:當預言機把被操控的價格餵入借貸系統,協議可能仍按「設計如常」運作,卻同時容許資金被大規模抽走。
Bonzo 指向的預言機驗證失效
Bonzo 將責任焦點放在預言機驗證而非借貸邏輯本身。協議稱問題源自 Supra 的鏈上預言機驗證器缺陷,按 Bonzo 說法,即使更新帶有零化簽名,仍被接納為有效的 SAUCE 價格。Bonzo 亦表示 Supra 已確認問題並已部署修復。
同時,Bonzo 重申事件不屬 Bonzo Lend 合約漏洞,亦非 Hedera 核心網絡問題。對用戶與整合方而言,這一點意味風險假設需要延伸到預言機基礎設施的可靠性:即使應用層代碼無誤,只要預言機層在簽名驗證或數據完整性上失守,整套風控模型便可能被瓦解。
為何抵押品價格攻擊在 DeFi 反覆出現
Bonzo 事件發生之際,2026 年 DeFi 安全壓力仍未緩解。Cointelegraph 早前指出,第二季按事件數計為歷來被黑最嚴重季度,共錄得 83 宗攻擊、約 7.55 億美元被盜,其中跨鏈橋攻擊佔 3.51 億美元;報道亦提到,被入侵的管理員權限攻擊與假代幣價格操控合計佔季度損失的 37%。
除事件數字外,市場信心亦受影響。Cointelegraph 報道,DeFi 總鎖倉量(TVL)於 2026 年 6 月較 1 月由約 1150 億美元下滑 39% 至逾 700 億美元。另據同一報道引用的 CryptoRank 數據,同期共 121 宗黑客事件、損失約 9.42 億美元,反覆的安全事故或加劇資金外流。
Bonzo 個案與上述趨勢一致:透過篡改定價輸入來攻擊,往往繞過傳統防禦,因其利用的是系統經濟規則而非直接破解核心合約。當借貸市場依賴準確的抵押估值,預言機層便成為高價值目標;一次完整性檢查失效,已足以觸發如同「無需清算」的超額借貸抽水。
今年初 Stellar 的相似劇本
Bonzo 的報告亦提到 2026 年較早前 Stellar 的類似事件。2 月,攻擊者在操控用作估值 USTRY 抵押品的價格路徑後,從 YieldBlox DAO 管理的借貸池抽走約1000萬美元,並藉此實現超出抵押真實價值的借貸。
兩宗事件雖屬不同生態,機制卻高度一致:攻擊者集中火力在抵押品價格如何被計算與信任,再利用扭曲估值抽走流動性。這也反映「抵押品定價完整性」並非小眾風險,而是借貸與抵押借款系統中最容易被重複利用的漏洞之一。
對開發者而言,實務問題在於:需要預言機供應商提供哪些保證?當價格完整性破裂時,有何監控與後備方案?Bonzo 的描述突顯簽名驗證的重要性,也指向驗證器在無效簽名等邊界情況下必須有更強的防護。市場後續關注點包括:預言機供應商與整合方如何驗證修復成效,以及借貸市場會否因預言機層失效而調整風險參數。