DeFi-протокол Bonzo Lend на Hedera потерял $9 млн из-за манипуляции с оракулом: атакующий завысил цену токена в триллион раз

DeFi-протокол Bonzo Lend, работающий в экосистеме Hedera, подвергся изощренной атаке, в результате которой злоумышленнику удалось вывести активы на сумму около $9 млн. Ключевой уязвимостью стала компрометация стороннего ценового оракула Supra, а не ошибки в смарт-контрактах самого протокола.
Детали атаки: триллионный разрыв в цене
Согласно внутреннему анализу команды Bonzo Finance, атакующий действовал по классической схеме манипуляции ликвидностью. Он внес в качестве залога 250 токенов SAUCE, после чего передал в оракул поддельную цену актива, завысив ее примерно в триллион раз. Это искусственное искажение позволило злоумышленнику занять около 6,6 млн USDC и 34,5 млн wHBAR при практически нулевом реальном обеспечении.
Команда протокола подчеркивает, что инцидент связан с ошибкой в системе верификации цен поставщика оракулов Supra. Это еще раз подтверждает, что уязвимости на уровне внешних источников данных остаются одной из самых серьезных угроз для DeFi-сектора — даже при безупречной логике смарт-контрактов.
Реакция и восстановление
После обнаружения атаки Bonzo Lend немедленно приостановил работу кредитного сервиса и программы начисления баллов. Разработчики заявили, что активно сотрудничают с партнерами по экосистеме Hedera для анализа инцидента и подготовки плана восстановления активов.
Примечательно, что один из адресов, участвовавших в выводе около $1 млн в момент аномальной цены SAUCE, идентифицировал себя как «белый хакер» и сообщил о намерении вернуть средства. Это может смягчить последствия атаки, но не отменяет системного риска, который продемонстрировал данный инцидент.
Комментарий эксперта: Атака на Bonzo Lend — это очередное напоминание о том, что DeFi-протоколы, полагающиеся на единый источник внешних данных, остаются крайне уязвимыми. Интеграция децентрализованных и кросс-проверяемых оракулов с механизмами защиты от манипуляций должна стать приоритетом для любого серьезного проекта. В первой половине 2026 года криптопроекты уже лишились около $972 млн в результате 207 инцидентов — и эта цифра будет расти, если не сделать правильные выводы.