
Bonzo Lend, крупнейший протокол кредитования в экосистеме Hedera, объявил о том, что понес убытки в размере приблизительно 9,05 млн долларов США в результате использования уязвимости в системе ценового оракула третьих лиц. После атаки работа сервисов Bonzo Lend и Bonzo Points была временно приостановлена.
Согласно отчету об инциденте, опубликованному Bonzo Finance Labs в сотрудничестве с Bonzo Finance Foundation, атака произошла 11 июля 2026 года приблизительно в 00:51 UTC (03:51 UTC+3). Злоумышленнику удалось занять значительно больше, чем реальная стоимость SAUCE, при небольшом залоге, отправив манипулированную цену SAUCE в систему оракулов Supra, используемую Bonzo Lend.
Компания Bonzo утверждала, что уязвимость в системе безопасности не связана с её собственными смарт-контрактами или дизайном протокола кредитования. Компания заявила, что проблема кроется в механизме проверки подписи стороннего оракула цен в блокчейне, используемого Bonzo Lend.
Согласно отчету, первый аккаунт, использованный злоумышленником, отправил искаженную цену SAUCE в $HBAR контракту обновления цен по запросу оракула в основной сети Hedera. В то время как фактическая рыночная цена SAUCE составляет приблизительно 0,2 $HBAR, отправленное злоумышленником значение было примерно на 12 знаков после запятой выше реальной цены.
Всего через восемь секунд после того, как в блокчейне была зафиксирована сфальсифицированная цена, злоумышленник использовал небольшую сумму инвестиций SAUCE в качестве залога. Из-за данных оракула протокол оценил стоимость этого залога как исключительно высокую, в результате чего злоумышленник заимствовал активы, значительно превышающие фактическую стоимость внесенного им залога.
Согласно обзору Bonzo, сфальсифицированное обновление цены было принято, поскольку валидатор Supra в блокчейне подтвердил доказательство без действительной подписи. Команда добавила, что злоумышленник не подделал действительную подпись оракула и что фактическая рыночная цена SAUCE не изменилась.
Новости по теме Сатоши Накамото предсказал, что нужно делать в связи с квантовой угрозой для биткоина, еще 16 лет назад
В протоколе указывалось, что некорректная цена должна была быть отклонена на уровне проверки оракула до того, как достигнет Bonzo Lend, но система проверки этого не сделала.
Выяснилось, что второй аккаунт также заимствовал дополнительные активы у протокола, пока действовали аномальные данные о ценах. Бонзо заявил, что этот аккаунт позже связался с командой, представившись «белым» исследователем безопасности и выразив намерение вернуть средства. Протокол рассматривает эту транзакцию в рамках процесса возврата средств.
Сообщалось, что атака затронула только сервисы Bonzo Lend и Bonzo Points. Сервисы Bonzo Vaults, Bonzo Bridge, а также односторонние сервисы стейкинга и дестейкинга для BONZO и XBONZO продолжали работать в обычном режиме.

График, демонстрирующий падение цены BONZO.
Работа пула кредитования Bonzo Lend приостановлена на время проведения проверок и мероприятий по восстановлению. Bonzo Finance Labs и Bonzo Finance Foundation объявили о том, что оценивают условия, при которых протокол может быть возобновлен, и процедуру вывода активов поставщиками ликвидности.
Команда заявила, что подробности относительно компенсаций пользователям, возврата средств и возобновления работы протокола будут сообщены позже в отдельном заявлении.
*Это не инвестиционная рекомендация.
Источник: cryptonews.net
