DeFi-протокол Bonzo Lend на Hedera втратив $9 млн через маніпуляцію з оракулом: атакуючий завищив ціну токена в трильйон разів

DeFi-протокол Bonzo Lend, що працює в екосистемі Hedera, зазнав витонченої атаки, в результаті якої зловмиснику вдалося вивести активи на суму близько $9 млн. Ключовою вразливістю стала компрометація стороннього цінового оракула Supra, а не помилки в смарт-контрактах самого протоколу.
Деталі атаки: трильйонний розрив у ціні
Згідно з внутрішнім аналізом команди Bonzo Finance, атакуючий діяв за класичною схемою маніпуляції ліквідністю. Він вніс як заставу 250 токенів SAUCE, після чого передав оракулу підроблену ціну активу, завищивши її приблизно в трильйон разів. Це штучне спотворення дозволило зловмиснику зайняти близько 6,6 млн USDC та 34,5 млн wHBAR за практично нульового реального забезпечення.
Команда протоколу підкреслює, що інцидент пов'язаний з помилкою в системі верифікації цін постачальника оракулів Supra. Це ще раз підтверджує, що вразливості на рівні зовнішніх джерел даних залишаються однією з найсерйозніших загроз для DeFi-сектору — навіть за бездоганної логіки смарт-контрактів.
Реакція та відновлення
Після виявлення атаки Bonzo Lend негайно призупинив роботу кредитного сервісу та програми нарахування балів. Розробники заявили, що активно співпрацюють з партнерами по екосистемі Hedera для аналізу інциденту та підготовки плану відновлення активів.
Примітно, що одна з адрес, яка брала участь у виведенні близько $1 млн у момент аномальної ціни SAUCE, ідентифікувала себе як «білий хакер» і повідомила про намір повернути кошти. Це може пом'якшити наслідки атаки, але не скасовує системного ризику, який продемонстрував цей інцидент.
Коментар експерта: Атака на Bonzo Lend — це чергове нагадування про те, що DeFi-протоколи, які покладаються на єдине джерело зовнішніх даних, залишаються надзвичайно вразливими. Інтеграція децентралізованих та крос-перевірюваних оракулів з механізмами захисту від маніпуляцій має стати пріоритетом для будь-якого серйозного проєкту. У першій половині 2026 року криптопроєкти вже втратили близько $972 млн в результаті 207 інцидентів — і ця цифра зростатиме, якщо не зробити правильних висновків.