De acordo com o relatório de incidentes da Bonzo Lend, o protocolo perdeu aproximadamente 9,05 milhões de dólares a 11 de julho, depois de um atacante explorar uma falha no verificador de oracle de terceiros da Supra. Uma actualização de preço assinada com uma assinatura inválida passou a validação, inflacionando o preço do SAUCE em cerca de doze ordens de grandeza — de aproximadamente 0,2 HBAR para um valor seguido por trinta zeros. Usando esta garantia artificialmente inflacionada, o atacante esvaziou as pools de lending do protocolo.
Uma segunda carteira explorou a mesma vulnerabilidade para retirar cerca de 1 milhão de dólares, mas posteriormente foi identificada como um respondedor white-hat e comprometeu-se a devolver os fundos. A Hedera confirmou que o incidente ficou limitado à camada externa do oracle, enquanto a Supra reconheceu a falha e implementou uma correção no seu contrato na rede Hedera mainnet. O valor total bloqueado (TVL) da Bonzo Lend caiu de aproximadamente 14,3 milhões de dólares a 10 de julho para 3,2 milhões de dólares a 12 de julho.