Кредитный протокол Bonzo Lend на базе Hedera потерял примерно 9 миллионов долларов после того, как злоумышленник манипулировал ценой токенов SAUCE, использовавшихся в качестве залога. Это позволило аккаунту заимствовать активы на суммы, многократно превышающие внесённое значение. В предварительном отчёте об инциденте, опубликованном в субботу, Bonzo связал взлом с уязвимостью в ончейн-верификаторе оракулов Supra, который принял поддельную цену SAUCE с обнулённой подписью. Эксплойт произошёл во втором квартале — самом взломанном квартале за всю историю: 83 инцидента и примерно 755 миллионов долларов украдено на платформах децентрализованного финансирования.
Злоумышленник внес 250 токенов SAUCE, стоимость которых составляла всего несколько долларов, прежде чем отправить обновление цены, которое раздула стоимость токена примерно на 12 порядков величины. Затем кошелёк занял 6,63 миллиона USDC и 34,5 миллиона wrapped HBAR из кредитного пула. Как только оракул принял раздутую цену, низкостоимостной депозит злоумышленника выглядел как поддержка заимствований на миллионы долларов.
Bonzo заявил, что инцидент не был вызван уязвимостью в смарт-контрактах Bonzo Lend или в базовой сети Hedera. Протокол сообщил, что Supra признала проблему и развернула исправление.
Сбои в оракулах особенно опасны в децентрализованном кредитовании, потому что стоимость залога определяет, сколько пользователи могут занимать. Если протокол принимает ложную цену, он может считать почти бесполезный залог достаточным обеспечением для крупных займов. Злоумышленнику не нужно напрямую ломать кредитный пул — достаточно убедить протокол, что залог стоит во много раз больше, чем его реальная рыночная стоимость.
Первоначальный депозит SAUCE стоил лишь небольшую сумму, но манипулированная цена превратила его в якобы источник огромной заёмной мощности. Затем кредитный пул выпустил ликвидные активы под залог, который не мог поддержать задолженность. Многие протоколы делают упор на аудиты смарт-контрактов и логику приложений, но рынки кредитования столь же безопасны, как и системы ценообразования, на которые они опираются.
Во втором квартале было 83 взлома и примерно 755 миллионов долларов украдено. Эксплойты межсетевых мостов составили 351 миллион долларов, а атаки с компрометацией администраторов и подменой цены токенов — 37% квартальных потерь. CryptoRank зафиксировал 121 взлом и примерно 942 миллиона долларов потерь за тот же период.
Капитал также покидает сектор. Общая стоимость активов в DeFi, заблокированных в протоколах, снизилась на 39% до более чем 70 миллиардов долларов в июне по сравнению примерно со 115 миллиардами долларов в январе. Повторяющиеся инциденты безопасности, вероятно, ударили по доверию пользователей и усилили отток капитала.
В феврале злоумышленники вывели примерно 10 миллионов долларов из кредитного пула YieldBlox, управляемого DAO, после манипулирования ценовым маршрутом, который использовался для оценки залога USTRY. Такая манипуляция позволила им занимать активы сверх реальной стоимости токена. Важность похожести в том, что это показывает: слабости оракула и ценового маршрута не ограничены одной сетью или одним рынком кредитования.
Любой протокол, принимающий значения залога из внешних систем, должен защищаться от ложных цен, устаревших фидов, отказов подписи, недостаточной ликвидности и манипулятивных маршрутов. Верификация оракула, лимиты по залогу, схемы аварийного отключения и быстрые механизмы паузы — ключевые защиты от атак, при которых небольшие депозиты превращаются в крупные требования к ликвидности.
Что стало причиной потерь Bonzo Lend в 9 миллионов долларов?
Bonzo Lend потерял примерно 9 миллионов долларов после того, как злоумышленник манипулировал ценой токенов SAUCE, используемых как залог. Злоумышленник внес 250 SAUCE стоимостью всего несколько долларов, затем отправил обновление цены, которое раздула стоимость токена примерно на 12 порядков величины, что позволило заимствовать 6,63 миллиона USDC и 34,5 миллиона wrapped HBAR. Bonzo связал инцидент с недостатком в ончейн-верификаторе оракулов Supra, который принял манипулированную цену SAUCE с обнулённой подписью.
Сколько эксплойтов DeFi произошло во втором квартале?
Во втором квартале было 83 эксплойта: примерно 755 миллионов долларов украдено на платформах децентрализованного финансирования. Эксплойты межсетевых мостов составили 351 миллион долларов, а атаки с компрометацией администраторов и подменой цены токенов — 37% квартальных потерь. CryptoRank зафиксировал 121 взлом и примерно 942 миллиона долларов потерь за тот же период.
Связанные новости
Фонд Ethereum: ИИ-агенты обнаружили ошибку с уязвимостью CVE-2026-34219 в коде libp2p
Ledger Donjon выявил уязвимость сброса пароля в картах Tangem, использующую лазерную атаку
Immunefi: в первой половине 2026 года зафиксировано 207 кибератак, связанных с криптовалютами, в результате которых было потеряно 9,72 миллиарда долларов
Трейдер потерял 1 миллион долларов в результате фишинговой атаки с использованием Permit2 в Uniswap