ru
Назад к списку

В Bonzo Lend объяснили причину эксплойта на $9 млн в сети Hedera

source-logo  incrypted.com 10 ч
image
  • В DeFi зафиксировали новый эксплойт.
  • Хакер вывел более $9 млн из-за ошибки оракула.
  • Проблема оказалась не в Hedera, а в оракуле Supra.

DeFi-протокол Bonzo Lend опубликовал технический отчет об инциденте, который произошел 11 июля 2026 года в сети Hedera. Команда заявила, что причиной потери около $9,05 млн стала не уязвимость протокола или блокчейна Hedera, а ошибка в механизме верификации ценового оракула Supra, которая позволила злоумышленнику получить кредиты под искусственно завышенное обеспечение.

В свою очередь, аналитики PeckShield сообщили, что злоумышленник вывел из экосистемы Hedera активы на сумму около $5,25 млн, переведя их в сеть Ethereum, а затем начал отмывать средства через Tornado Cash. По данным компании, через миксер уже прошло 4402 $ETH (примерно $8 млн).

#PeckShieldAlert Specter has reported that @hedera Network appeared to be exploited, with $5.25M in stolen funds already bridged from #Hedera Mainnet to Ethereum.

The hacker originally funded 1 $ETH from #TornadoCash and now holds 2.36K $ETH ($4.25M) & 15.58 WBTC ($1M) in the… pic.twitter.com/bPcKx0FXpO

— PeckShieldAlert (@PeckShieldAlert) July 11, 2026

Что произошло?

По информации Bonzo Finance Labs, злоумышленник отправил в оракул Supra поддельное обновление цены токена SAUCE, которое было принято из-за ошибки в верификаторе подписей.

Вместо реальной стоимости около 0,2 HBAR оракул записал значение, завышенное примерно на 12 порядков. Через восемь секунд после этого атакующий использовал депозит всего в 250 SAUCE в качестве обеспечения и занял в Bonzo Lend активы на сумму более $9 млн.

В отчете подчеркивается, что проблема возникла еще до того, как данные попали в протокол кредитования:

«Bonzo Lend работал корректно и не отклонялся от своей логики. Получив данные от оракула, протокол выполнил именно те вычисления, для которых был создан».

Команда также подчеркнула:

  • смарт-контракты Bonzo Lend не содержали уязвимостей;
  • рыночная цена SAUCE не менялась;
  • атака не использовала флешзаем;
  • манипуляция стала возможной из-за сбоя в процессе проверки подписей в Supra Oracle.

После инцидента Bonzo Lend и Bonzo Points приостановили. В то же время Bonzo Vaults, Bonzo Bridge и стейкинг BONZO/XBONZO продолжают работать в штатном режиме.

Сообщество опровергло взлом сети

На волне сообщений об «эксплойте Hedera» участники сообщества обратили внимание, что проблема не касалась самого блокчейна.

В частности, Джозеф Бергвинсон заявил:

«Это не был взлом сети Hedera. Причиной стала ошибка в верификаторе оракула Supra, который принял обновление цены без какой-либо подписи. Hedera не была скомпрометирована. Называть это взломом сети — дезинформация».

В Bonzo Finance подтвердили, что Supra уже исправила ошибку в верификаторе.

Отдельно команда сообщила еще об одном участнике инцидента — Wallet B, который также воспользовался аномальной ценой и занял около $1 млн, но позже сам связался с разработчиками, представился белым хакером-исследователем и заявил о намерении вернуть средства. Из-за этого Bonzo оценивает основной ущерб именно в $9,05 млн, а не более чем в $10 млн.

Напомним, что инцидент произошел на фоне роста количества атак на криптопротоколы в 2026 году. По данным CertiK, только за первое полугодие отрасль потеряла $1,32 млрд из-за взломов. В компании отметили, что все чаще хакеры атакуют старые или даже заброшенные протоколы, используя автоматизированные инструменты поиска скрытых уязвимостей.

Только в июле был взломан Hinkal Protocol, который потерял более 822 000 USDC, а украденные средства также были отмыты через Tornado Cash.

Кроме того, Summer.fi подвергся эксплойту примерно на $6 млн из-за ошибки в логике учетных механизмов, хотя приватные ключи или административные права скомпрометированы не были.

incrypted.com