Децентрализованный кредитный протокол Bonzo Lend в сети Hedera лишился около $9,05 млн в ночь на 11 июля. Злоумышленник использовал уязвимость в верификаторе стороннего оракула Supra и передал искусственную цену токена SAUCE, следует из предварительного отчета команды.
Вскоре после атаки протокол приостановил работу Bonzo Lend, вместе с ним заморозили и программу начисления баллов. Хранилища Bonzo Vaults, мост Bonzo Bridge и стейкинг продолжили работать.
В Hedera заявили, что инцидент затронул только верификатор стороннего оракула и не связан с изъяном в базовой инфраструктуре сети.
Атакующий внес в качестве обеспечения 250 SAUCE стоимостью в несколько долларов. Затем он передал в ончейн-контракт Supra обновление, которое завысило стоимость токена примерно на 12 порядков. На тот момент SAUCE торговался вблизи 0,2 $HBAR, а в поддельном обновлении значилось число с 30 нулями.
Спустя считанные секунды кошелек занял под этот практически бесценный залог около 6,63 млн USDC и 34,5 млн «обернутых» $HBAR. Bonzo оценила выведенную сумму в $9,05 млн, исходя из справочной цены $HBAR на уровне $0,07.
По теме: Kraken отказалась от LayerZero в пользу Chainlink после взлома Kelp DAO
Нулевая подпись вместо криптографии
Поддельное обновление содержало криптографическую подпись, состоящую из одних нулей. Верификатор Supra должен был сразу отклонить такие данные, однако принял их как действительные — из-за ошибки в проверке подписи контрактом.
Это позволило хакеру передать цену без одобрения легитимных подписантов Supra. Иными словами, он не взломал криптографию сервиса и не похитил ключ, а нашел способ заставить верификатор принять заведомо некорректное обновление.
В Bonzo сообщили, что Supra признала проблему и выпустила исправление для затронутого контракта в основной сети Hedera.
«Именно благодаря этому исправлению и возможности изучить поведение контракта мы можем описать механизм», — говорится в отчете.
Второй кошелек занял около $1 млн, пока действовала искаженная цена, после чего связался с командой, назвался «белым хакером» и пообещал вернуть средства. Bonzo исключила эту сумму из итоговой оценки — иначе объем заимствований составил бы примерно $10,06 млн.
Первым на подозрительное движение средств из Hedera в Ethereum обратил внимание ончейн-исследователь Specter — еще до того, как протокол подтвердил источник эксплойта. Легитимное обновление оракула вернуло котировки SAUCE к рыночному уровню примерно через 45 минут; спустя еще пять минут кредитный пул отключили.
Взлом Bonzo Lend — очередной эпизод в череде инцидентов этого года: за первое полугодие 2026 года проекты потеряли около $972 млн в результате рекордных 207 атак. Только в июле хакеры вывели $20 млн из BonkDAO.
Все чаще под ударом оказываются не основные контракты приложений, а инфраструктура, приватные данные и системы привилегированного доступа. Похожая картина наблюдалась при предполагаемой утечке ключей Gravity Bridge и эксплойте верификации моста Kelp DAO.
Каждый такой случай подталкивает капитал к выходу из сектора: заблокированная в DeFi стоимость с начала года существенно снизилась.