Hedera生态系统中最大的借贷协议Bonzo Lend宣布,由于第三方价格预言机漏洞遭到利用,其损失约为905万美元。攻击发生后,Bonzo Lend和Bonzo Points服务暂时中止。
根据 Bonzo Finance Labs 与 Bonzo Finance Foundation 联合发布的事件报告,此次攻击发生在 2026 年 7 月 11 日 00:51 UTC(UTC+3 03:51)。攻击者通过向 Bonzo Lend 使用的 Supra 预言机系统发送篡改后的 SAUCE 价格,以极少的抵押品借入了远超 SAUCE 实际价值的资金。
Bonzo辩称,安全漏洞并非源于其自身的智能合约或其借贷协议的设计。该公司表示,问题出在Bonzo Lend使用的第三方链上价格预言机的签名验证机制上。
报告显示,攻击者使用的第一个账户向Hedera主网上的预言机按需价格更新合约发送了一个篡改过的SAUCE价格(以HBAR计价)。SAUCE的实际市场价格约为0.2 HBAR,而攻击者发送的价格比实际价格高出约12位小数。
在操纵价格被记录到链上仅仅八秒钟后,攻击者就使用少量 SAUCE 投资作为抵押品。由于预言机数据,协议计算出的抵押品价值异常高,导致攻击者借入的资产远远超过其存入抵押品的实际价值。
根据 Bonzo 的审查,篡改后的价格更新之所以被接受,是因为 Supra 的链上验证器在没有有效签名的情况下确认了该证明。团队补充说,攻击者并未伪造有效的预言机签名,SAUCE 的实际市场价格也没有发生变化。
协议规定,错误的定价应该在到达 Bonzo Lend 之前,在预言机的验证层就被拒绝,但验证系统未能做到这一点。
据透露,在异常价格数据生效期间,第二个账户也从该协议借入了额外的资产。Bonzo表示,该账户随后联系了团队,自称是白帽安全研究人员,并表示愿意归还资金。该协议正在将此笔交易纳入追回流程。
据报道,此次攻击仅影响了 Bonzo Lend 和 Bonzo Points 服务。Bonzo Vaults、Bonzo Bridge 以及 BONZO 和 XBONZO 的单向质押和解押服务均正常运行。

Bonzo Lend的贷款池已暂停运作,相关审查和恢复工作仍在进行中。Bonzo Finance Labs和Bonzo Finance Foundation宣布,他们正在评估重启该协议的条件以及流动性提供者提取资产的流程。
该团队表示,有关用户补偿、资金追回和协议重新激活的详细信息将在稍后单独发布的公告中公布。
*本文不构成投资建议。


