Hedera借贷协议遭预言机攻击,损失超900万美元
Bonzo Lend遭遇预言机操纵,巨额资产被非法提取
在2026年7月11日,基于Hedera网络的借贷协议Bonzo Lend遭受严重安全事件,造成约905万美元资产损失。攻击者通过向第三方Supra预言机合约提交伪造的SAUCE代币价格数据,成功将仅价值数美元的250枚SAUCE视为高价值抵押品,从而触发了大规模借贷行为。
虚假价格驱动大规模借贷操作
攻击者利用被篡改的预言机信息,使系统误判SAUCE代币价值,进而借出总计约663万枚USDC及超过3450万枚封装HBAR。该异常价格在八秒内即完成传播,随后协议于UTC时间01:41紧急暂停借贷功能,并在当日稍晚关闭了Bonzo Points模块。目前,Bonzo Vaults、Bonzo Bridge及单边BONZO质押仍维持运行。
零签名绕过验证机制成关键漏洞
事件溯源显示,问题源于Supra验证器未正确校验签名有效性。攻击者提交的数据携带零签名,但验证器未拒绝该无效输入,导致配对检查返回真值。由于两个值均指向数学上的恒等点,系统误认为其为有效委员会签名。尽管实际并无任何伪造签名,但流程缺陷致使虚假数据被写入主网,且后续已由Supra在主网上完成修复。
协议逻辑合规运行,无自身代码漏洞
Bonzo团队强调,其借贷合约严格依据授权预言机数据执行,未发现合约层面缺陷或闪电贷攻击痕迹。系统在接收到被操控的价格后按既定规则运作,确认不存在内部设计错误。此外,另一账户在异常期间借出约100万美元,自称白帽响应者并承诺归还资产,该部分金额尚未计入最终损失总额,追回进展仍在协商中。
跨链转移路径暴露,资产追踪持续进行
在官方报告发布前,安全研究团队监测到超过580万美元资产经由LayerZero桥从Hedera转移至以太坊网络。部分资金被转换为以太币,另有持仓涉及封装比特币。随着转账持续,原生HBAR价格应声下跌逾2%。
价格恢复及时,但损失已成定局
Bonzo的预言机文档列有多个交易对数据源,包括SAUCE、HBARX、XSAUCE、DOVU、PACK、KARATE、STEAM和HST相对于封装HBAR的基准。此次攻击仅影响SAUCE交易对。合法价格在UTC时间01:36恢复至约0.1964 HBAR,比借贷池暂停早五分钟。尽管如此,核心损失仍无法挽回。当前,Bonzo Finance Labs与基金会正联合开展资产追回、漏洞修复及流动性提供者提款方案设计,重新开放日期尚未公布。
免责声明:本文所有内容均来源于第三方平台,所有内容不作任何类型的保证,不构成任何投资、不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。
