Эксплойт в Bonzo Lend на Hedera: манипуляция оракулом обошлась протоколу в $9 млн

DeFi-протокол Bonzo Lend, работающий в экосистеме Hedera, стал жертвой изощренной атаки на ценовой оракул. Злоумышленник сумел вывести активы на сумму около $9 миллионов, воспользовавшись уязвимостью в стороннем поставщике данных.
Как была проведена атака
Согласно детальному анализу команды Bonzo Finance, атакующий внес в качестве залога всего 250 токенов SAUCE. Затем он передал в оракул поддельную цену этого актива, искусственно завысив её примерно в триллион раз. Это позволило злоумышленнику занять около 6,6 млн USDC и 34,5 млн wHBAR при практически нулевом реальном обеспечении. Инцидент был связан не с ошибками в смарт-контрактах самого протокола, а с уязвимостью в системе верификации цен поставщика оракулов Supra.
Реакция и текущий статус
После обнаружения атаки работа кредитного сервиса и программа начисления баллов Bonzo Lend были немедленно приостановлены. Разработчики заявили о сотрудничестве с партнерами по экосистеме Hedera для анализа инцидента и подготовки плана по восстановлению активов. Примечательно, что один из адресов, участвовавших в выводе около $1 млн в момент аномальной цены SAUCE, идентифицировал себя как «белый хакер» и выразил намерение вернуть средства.
Экспертное мнение
Этот случай вновь подчеркивает критическую важность безопасности оракулов в DeFi. Даже при безупречных смарт-контрактах, зависимость от одного источника данных может привести к катастрофическим последствиям. Для сравнения: по данным Immunefi, в первой половине года криптопроекты потеряли около $972 млн в результате 207 инцидентов, и атаки на оракулы остаются одной из самых дорогостоящих угроз для индустрии.