Bonzo Lend Kehilangan $9 Juta Akibat Manipulasi Harga SAUCE oleh Kesalahan Oracle

2 jam yang lalu
Waktu baca 1 menit
1 tampilan

Insiden Kerugian Bonzo Lend

Protokol peminjaman berbasis Hedera, Bonzo Lend, mengalami kerugian sekitar $9,05 juta setelah seorang penyerang berhasil memanipulasi harga SAUCE yang digunakan sebagai jaminan. Insiden ini terjadi pada 11 Juli 2026, ketika sebuah dompet mengirimkan harga palsu SAUCE ke kontrak oracle pihak ketiga, Supra.

Detail Insiden

Penyerang tersebut menyetor 250 SAUCE, yang hanya bernilai beberapa dolar, sebelum feed memperlakukan token tersebut sebagai aset yang sangat berharga. Delapan detik setelah harga palsu tersebut mencapai jaringan, dompet itu meminjam 6,63 juta USDC dan lebih dari 34,5 juta wrapped HBAR. Bonzo menggambarkan kerugian ini sebagai “sekitar $9,05 juta.” Protokol menghentikan Bonzo Lend pada pukul 01:41 UTC dan menghentikan Bonzo Points pada pagi hari itu. Namun, Bonzo Vaults, Bonzo Bridge, dan staking BONZO satu sisi tetap beroperasi.

Penyebab dan Tindakan Perbaikan

Laporan insiden Bonzo melacak peristiwa tersebut ke proses verifikasi tanda tangan Supra. Pembaruan tersebut membawa tanda tangan yang bernilai nol, alih-alih tanda tangan yang valid dari komite oracle Supra. Bonzo menyatakan bahwa verifikator gagal menolak input bernilai nol sebelum mengirimkannya ke kontrak sistem pasangan Hedera.

Pemeriksaan pasangan mengembalikan nilai yang benar karena kedua nilai tersebut mewakili titik identitas matematis. Kontrak Supra kemudian memperlakukan hasil tersebut sebagai bukti tanda tangan komite yang valid. Bonzo menegaskan bahwa “tidak ada tanda tangan oracle yang valid yang dipalsukan” dan harga pasar nyata SAUCE tidak mengalami kenaikan.

Reaksi dan Pemulihan

Sejak insiden tersebut, Supra telah menerapkan perbaikan pada kontrak verifikator yang terpengaruh di Hedera mainnet. Bonzo menjelaskan bahwa kontrak peminjamannya membaca nilai yang dimanipulasi dari feed oracle yang disetujui dan menghitung daya pinjam berdasarkan data tersebut. Tim Bonzo menyatakan bahwa kolam peminjaman bertindak sesuai desain setelah menerima input palsu.

Sebuah akun kedua meminjam sekitar $1 juta sementara harga abnormal tetap aktif. Dompet tersebut kemudian menghubungi tim Bonzo dan menggambarkan dirinya sebagai responden white-hat, menyatakan niat untuk mengembalikan aset tersebut. Bonzo mengecualikan jumlah tersebut dari total kerugian $9,05 juta karena pembicaraan pemulihan masih berlangsung. Namun, laporan yang diterbitkan belum mengonfirmasi pengembalian tersebut.

Transfer Aset dan Dampak Pasar

Sebelum Bonzo merilis temuan mereka, crypto.news melaporkan bahwa peneliti keamanan telah melacak lebih dari $5,8 juta yang berpindah dari Hedera ke Ethereum. Peneliti tersebut menyebutkan bahwa dompet itu menjembatani aset melalui LayerZero dan mengonversi sebagian dari kepemilikan dari wrapped Bitcoin menjadi Ether. HBAR mengalami penurunan lebih dari 2% saat transfer berlangsung.

Kesimpulan

Dokumentasi oracle Bonzo mencantumkan feed Supra untuk SAUCE, HBARX, XSAUCE, DOVU, PACK, KARATE, STEAM, dan HST terhadap wrapped HBAR. Insiden ini berdampak pada pasangan SAUCE. Bonzo menyatakan bahwa penerbitan yang sah mengembalikan harga SAUCE menjadi sekitar 0,1964 HBAR pada pukul 01:36 UTC, lima menit sebelum kolam peminjaman dihentikan. Laporan Bonzo selanjutnya meningkatkan jumlah pokok yang dikonfirmasi diambil oleh penyerang utama menjadi sekitar $9,05 juta.

Sebuah postingan dari Wu Blockchain juga membagikan temuan protokol tersebut. Saat ini, Bonzo Lend tetap dihentikan sementara Bonzo Finance Labs dan Yayasan Keuangan Bonzo bekerja sama dengan mitra untuk pemulihan aset, perbaikan, dan rencana penarikan untuk penyedia likuiditas. Tim belum menetapkan tanggal untuk membuka kembali kolam peminjaman.