

В Bonzo Lend объяснили причину эксплойта на $9 млн в сети Hedera
- В DeFi зафиксировали новый эксплойт.
- Хакер вывел более $9 млн из-за ошибки оракула.
- Проблема оказалась не в Hedera, а в оракуле Supra.
DeFi-протокол Bonzo Lend опубликовал технический отчет об инциденте, который произошел 11 июля 2026 года в сети Hedera. Команда заявила, что причиной потери около $9,05 млн стала не уязвимость протокола или блокчейна Hedera, а ошибка в механизме верификации ценового оракула Supra, которая позволила злоумышленнику получить кредиты под искусственно завышенное обеспечение.
В свою очередь, аналитики PeckShield сообщили, что злоумышленник вывел из экосистемы Hedera активы на сумму около $5,25 млн, переведя их в сеть Ethereum, а затем начал отмывать средства через Tornado Cash. По данным компании, через миксер уже прошло 4402 ETH (примерно $8 млн).
Что произошло?
По информации Bonzo Finance Labs, злоумышленник отправил в оракул Supra поддельное обновление цены токена SAUCE, которое было принято из-за ошибки в верификаторе подписей.
Вместо реальной стоимости около 0,2 HBAR оракул записал значение, завышенное примерно на 12 порядков. Через восемь секунд после этого атакующий использовал депозит всего в 250 SAUCE в качестве обеспечения и занял в Bonzo Lend активы на сумму более $9 млн.
В отчете подчеркивается, что проблема возникла еще до того, как данные попали в протокол кредитования:
Команда также подчеркнула:
- смарт-контракты Bonzo Lend не содержали уязвимостей;
- рыночная цена SAUCE не менялась;
- атака не использовала флешзаем;
- манипуляция стала возможной из-за сбоя в процессе проверки подписей в Supra Oracle.
После инцидента Bonzo Lend и Bonzo Points приостановили. В то же время Bonzo Vaults, Bonzo Bridge и стейкинг BONZO/XBONZO продолжают работать в штатном режиме.
С
Читать на incrypted.com