Insidente ng Manipulasyon sa Bonzo Lend
Ang Hedera-based lending protocol na Bonzo Lend ay nalugi ng humigit-kumulang $9.05 milyon matapos manipulahin ng isang umaatake ang presyo ng SAUCE na ginamit bilang collateral. Ayon sa Bonzo Finance Labs, nagsimula ang insidente noong Hulyo 11, 2026, nang ang isang wallet ay nag-submit ng maling presyo ng SAUCE sa isang third-party na Supra oracle contract.
Paglalarawan ng Insidente
Nagdeposito ang umaatake ng 250 SAUCE, na nagkakahalaga lamang ng ilang dolyar, bago itinuturing ng feed ang mga token bilang napakahalaga. Walong segundo matapos umabot ang maling presyo sa network, nanghiram ang wallet ng 6.63 milyong USDC at higit sa 34.5 milyong wrapped HBAR.
Inilarawan ng Bonzo ang headline loss bilang “humigit-kumulang $9.05 milyon.”
Pagsusuri ng Insidente
Pinahinto ng protocol ang Bonzo Lend sa 01:41 UTC at itinigil ang Bonzo Points sa umagang iyon. Patuloy na nag-operate ang Bonzo Vaults, Bonzo Bridge, at single-sided BONZO staking. Sinubaybayan ng ulat ng insidente ng Bonzo ang pangyayari sa proseso ng pagpapatunay ng lagda ng Supra.
Ang update ay nagdala ng zeroed signature sa halip na isang wastong lagda mula sa oracle committee ng Supra. Sinabi ng Bonzo na nabigo ang verifier na tanggihan ang zero-value inputs bago ito ipadala sa pairing system contract ng Hedera. Ang pairing check ay nagbalik ng totoo dahil ang parehong halaga ay kumakatawan sa mathematical identity point.
Sinabi ng Bonzo na “walang wastong oracle signature ang na-forge” at hindi tumaas ang tunay na presyo ng merkado ng SAUCE.
Mga Hakbang na Isinagawa
Mula noon, nag-deploy ang Supra ng isang pag-aayos sa naapektuhang verifier contract sa Hedera mainnet. Sinabi ng Bonzo na ang kanilang lending contracts ay nagbasa ng manipulated value mula sa approved oracle feed at kinalkula ang borrowing power mula sa data na iyon. Ipinahayag ng team na ang lending pool ay kumilos ayon sa disenyo matapos makatanggap ng maling input.
Ang kanilang ulat ay nagbawas ng posibilidad ng bug sa Bonzo contract, flash-loan attack, at normal na manipulasyon sa merkado. Isang pangalawang account ang nanghiram ng humigit-kumulang $1 milyon habang ang abnormal na presyo ay nananatiling aktibo. Ang wallet na iyon ay kalaunan nakipag-ugnayan sa team at inilarawan ang sarili bilang isang white-hat responder.
Sinabi nito na plano nitong ibalik ang mga asset.
Pagbawi at Patuloy na Pagsusuri
Inexcluded ng Bonzo ang halagang iyon mula sa kanilang $9.05 milyong figure ng pagkawala dahil ang mga pag-uusap sa pagbawi ay nananatiling aktibo. Ang na-publish na ulat ay hindi nakumpirma ang pagbabalik. Bago inilabas ng Bonzo ang kanilang mga natuklasan, iniulat ng crypto.news na ang mga mananaliksik sa seguridad ay nag-track ng higit sa $5.8 milyon na lumilipat mula sa Hedera patungong Ethereum.
Sinabi ng mga mananaliksik na ang wallet ay nag-bridge ng mga asset sa pamamagitan ng LayerZero at nag-convert ng bahagi ng mga hawak mula sa wrapped Bitcoin patungong Ether. Ang HBAR ay bumagsak ng higit sa 2% habang nagpapatuloy ang mga transfer.
Konklusyon
Ang dokumentasyon ng oracle ng Bonzo ay naglilista ng mga Supra feeds para sa SAUCE, HBARX, XSAUCE, DOVU, PACK, KARATE, STEAM, at HST laban sa wrapped HBAR. Sinabi ng Bonzo na ang lehitimong publishing ay nagbalik ng presyo sa humigit-kumulang 0.1964 HBAR sa 01:36 UTC, limang minuto bago ang pagtigil ng lending pool.
Ang susunod na ulat ng Bonzo ay nagtaas ng nakumpirmang principal na kinuha ng pangunahing umaatake sa humigit-kumulang $9.05 milyon. Ang Bonzo Lend ay nananatiling nakahinto habang ang Bonzo Finance Labs at ang Bonzo Finance Foundation ay nakikipagtulungan sa mga kasosyo para sa pagbawi ng asset, mga pag-aayos, at mga plano sa pag-withdraw para sa mga liquidity providers. Ang team ay hindi pa nagtakda ng petsa para sa muling pagbubukas ng lending pool.