Bonzo Lend теряет $9 млн. из-за уязвимости оракула Hedera

Bonzo Lend теряет $9 млн. из-за уязвимости оракула Hedera

Протокол кредитования Bonzo Lend, работающий на платформе Hedera, потерял около $9 миллионов после того, как злоумышленник манипулировал ценой токена SAUCE, используемого в качестве залога, что позволило учетной записи заимствовать активы, значительно превышающие сумму внесенного депозита.

В предварительном отчете об инциденте, опубликованном в субботу, Bonzo сообщил, что злоумышленник внес 250 SAUCE, что составляет всего несколько долларов, после чего отправил обновление цены, которое завысило стоимость токена примерно на 12 порядков. Затем кошелек занял 6,63 миллиона USDC и 34,5 миллиона обернутых HBAR из пула кредитования.

Этот случай иллюстрирует, как сбои в работе оракулов могут превратить низкоценное обеспечение в инструмент для извлечения больших объемов ликвидности из протоколов кредитования, даже если приложение и базовая сеть продолжают работать в соответствии с протоколом. 

Bonzo объяснил инцидент уязвимостью в верификаторе оракула Supra в блокчейне, который принимал измененную цену SAUCE с нулевой подписью. В протоколе говорится, что Supra признала проблему и внедрила исправление, подчеркнув при этом, что инцидент не является уязвимостью в контрактах Bonzo Lend или основной сети Hedera.

Взломы DeFi продолжают оказывать давление на этот сектор

Этот инцидент пополняет растущее число уязвимостей, нацеленных на протоколы децентрализованных финансов в 2026 году. 

Второй квартал стал самым хакерским кварталом за всю историю наблюдений по количеству инцидентов: было совершено 83 взлома, в результате которых было украдено около $755 миллионов. Взлом межсетевых мостов привел к ущербу в размере $351 миллиона, а атаки на администраторов и манипуляции с ценами токенов составили 37% от квартальных потерь. 

В 2026 году общий объем заблокированных средств (TVL) в DeFi упал на 39% — с примерно $115 миллиардов в январе до более чем $70 миллиардов в июне. CryptoRank зафиксировал 121 взлом и убытки в размере около $942 миллионов за этот период, заявив, что повторяющиеся инциденты в сфере безопасности, вероятно, подорвали доверие пользователей и усилили отток капитала.

Инцидент с Bonzo также произошел после аналогичной атаки на Stellar, связанной с фальсификацией цен на залоговое обеспечение. В феврале злоумышленники вывели около $10 миллионов из пула кредитования, управляемого DAO YieldBlox, манипулируя ценовым алгоритмом, используемым для оценки залогового обеспечения USTRY, что позволило им заимствовать активы, превышающие реальную стоимость токена. 

Читайте также: