В Bonzo Lend объяснили причину эксплойта на $9 млн в сети Hedera

Поделиться:
- В DeFi зафиксировали новый эксплойт.
- Хакер вывел более $9 млн из-за ошибки оракула.
- Проблема оказалась не в Hedera, а в оракуле Supra.
DeFi-протокол Bonzo Lend опубликовал технический отчет об инциденте, который произошел 11 июля 2026 года в сети Hedera. Команда заявила, что причиной потери около $9,05 млн стала не уязвимость протокола или блокчейна Hedera, а ошибка в механизме верификации ценового оракула Supra, которая позволила злоумышленнику получить кредиты под искусственно завышенное обеспечение.
В свою очередь, аналитики PeckShield сообщили, что злоумышленник вывел из экосистемы Hedera активы на сумму около $5,25 млн, переведя их в сеть Ethereum, а затем начал отмывать средства через Tornado Cash. По данным компании, через миксер уже прошло 4402 ETH (примерно $8 млн).
#PeckShieldAlert Specter has reported that @hedera Network appeared to be exploited, with $5.25M in stolen funds already bridged from #Hedera Mainnet to Ethereum.
— PeckShieldAlert (@PeckShieldAlert) July 11, 2026
The hacker originally funded 1 ETH from #TornadoCash and now holds 2.36K ETH ($4.25M) & 15.58 WBTC ($1M) in the… pic.twitter.com/bPcKx0FXpO
Что произошло?
По информации Bonzo Finance Labs, злоумышленник отправил в оракул Supra поддельное обновление цены токена SAUCE, которое было принято из-за ошибки в верификаторе подписей.
Вместо реальной стоимости около 0,2 HBAR оракул записал значение, завышенное примерно на 12 порядков. Через восемь секунд после этого атакующий использовал депозит всего в 250 SAUCE в качестве обеспечения и занял в Bonzo Lend активы на сумму более $9 млн.
В отчете подчеркивается, что проблема возникла еще до того, как данные попали в протокол кредитования:
«Bonzo Lend работал корректно и не отклонялся от своей логики. Получив данные от оракула, протокол выполнил именно те вычисления, для которых был создан».
Команда также подчеркнула:
- смарт-контракты Bonzo Lend не содержали уязвимостей;
- рыночная цена SAUCE не менялась;
- атака не использовала флешзаем;
- манипуляция стала возможной из-за сбоя в процессе проверки подписей в Supra Oracle.
После инцидента Bonzo Lend и Bonzo Points приостановили. В то же время Bonzo Vaults, Bonzo Bridge и стейкинг BONZO/XBONZO продолжают работать в штатном режиме.
Сообщество опровергло взлом сети
На волне сообщений об «эксплойте Hedera» участники сообщества обратили внимание, что проблема не касалась самого блокчейна.
В частности, Джозеф Бергвинсон заявил:
«Это не был взлом сети Hedera. Причиной стала ошибка в верификаторе оракула Supra, который принял обновление цены без какой-либо подписи. Hedera не была скомпрометирована. Называть это взломом сети — дезинформация».
В Bonzo Finance подтвердили, что Supra уже исправила ошибку в верификаторе.
Отдельно команда сообщила еще об одном участнике инцидента — Wallet B, который также воспользовался аномальной ценой и занял около $1 млн, но позже сам связался с разработчиками, представился белым хакером-исследователем и заявил о намерении вернуть средства. Из-за этого Bonzo оценивает основной ущерб именно в $9,05 млн, а не более чем в $10 млн.
Напомним, что инцидент произошел на фоне роста количества атак на криптопротоколы в 2026 году. По данным CertiK, только за первое полугодие отрасль потеряла $1,32 млрд из-за взломов. В компании отметили, что все чаще хакеры атакуют старые или даже заброшенные протоколы, используя автоматизированные инструменты поиска скрытых уязвимостей.
Только в июле был взломан Hinkal Protocol, который потерял более 822 000 USDC, а украденные средства также были отмыты через Tornado Cash.
Кроме того, Summer.fi подвергся эксплойту примерно на $6 млн из-за ошибки в логике учетных механизмов, хотя приватные ключи или административные права скомпрометированы не были.
Сообщение В Bonzo Lend объяснили причину эксплойта на $9 млн в сети Hedera появились сначала на INCRYPTED.






