Vorfall bei Bonzo Lend
Das auf Hedera basierende Kreditprotokoll Bonzo Lend hat etwa 9,05 Millionen Dollar verloren, nachdem ein Angreifer den Preis von SAUCE, der als Sicherheiten verwendet wurde, manipulierte. Bonzo Finance Labs gab an, dass der Vorfall am 11. Juli 2026 begann, als eine Wallet einen falschen SAUCE-Preis an einen Drittanbieter-Supra-Oracle-Vertrag übermittelte.
Manipulation des SAUCE-Preises
Der Angreifer hinterlegte 250 SAUCE, die nur wenige Dollar wert waren, bevor der Feed die Token als äußerst wertvoll behandelte. Acht Sekunden nachdem der falsche Preis das Netzwerk erreichte, lieh sich die Wallet 6,63 Millionen USDC und mehr als 34,5 Millionen Wrapped HBAR.
„ungefähr 9,05 Millionen Dollar“
Bonzo beschrieb den Verlust in der Schlagzeile als oben zitiert. Das Protokoll pausierte Bonzo Lend um 01:41 UTC und stoppte Bonzo Points später am Morgen. Bonzo Vaults, Bonzo Bridge und das einseitige BONZO-Staking blieben jedoch weiterhin aktiv.
Technische Details des Vorfalls
Der Vorfallbericht von Bonzo verfolgte das Ereignis bis zum Signaturverifizierungsprozess von Supra. Das Update enthielt eine Null-Signatur anstelle einer gültigen Signatur des Oracle-Ausschusses von Supra. Bonzo erklärte, dass der Verifier es versäumte, Nullwert-Eingaben abzulehnen, bevor sie an den Pairing-Systemvertrag von Hedera gesendet wurden.
Die Pairing-Prüfung ergab, dass beide Werte den mathematischen Identitätspunkt darstellten. Der Vertrag von Supra behandelte dieses Ergebnis dann als Nachweis einer gültigen Ausschusssignatur. Bonzo stellte klar, dass „keine gültige Oracle-Signatur gefälscht wurde“ und der tatsächliche Marktpreis von SAUCE nicht anstieg.
Reaktionen und Rückgaben
Laut dem Bericht hat Supra inzwischen einen Fix für den betroffenen Verifier-Vertrag im Hedera-Hauptnetz bereitgestellt. Bonzo erklärte, dass seine Kreditverträge den manipulierten Wert aus dem genehmigten Oracle-Feed lasen und die Kreditkraft auf Basis dieser Daten berechneten. Das Team stellte fest, dass der Kreditpool wie vorgesehen funktionierte, nachdem es die falsche Eingabe erhalten hatte.
Ein zweites Konto lieh sich etwa 1 Million Dollar, während der anormale Preis aktiv blieb. Diese Wallet kontaktierte später das Team und beschrieb sich selbst als White-Hat-Responder. Sie gab an, die Vermögenswerte zurückgeben zu wollen. Bonzo schloss diesen Betrag von seiner Verlustsumme von 9,05 Millionen Dollar aus, da die Rückverhandlungen aktiv bleiben. Der veröffentlichte Bericht hatte die Rückgabe jedoch nicht bestätigt.
Marktreaktionen und weitere Entwicklungen
Bevor Bonzo seine Erkenntnisse veröffentlichte, berichtete crypto.news, dass Sicherheitsforscher mehr als 5,8 Millionen Dollar von Hedera nach Ethereum verfolgt hatten. Die Forscher sagten, die Wallet habe Vermögenswerte über LayerZero übertragen und einen Teil der Bestände von Wrapped Bitcoin in Ether umgewandelt. HBAR fiel um mehr als 2%, während die Überweisungen fortgesetzt wurden.
Die Oracle-Dokumentation von Bonzo listet Supra-Feeds für SAUCE, HBARX, XSAUCE, DOVU, PACK, KARATE, STEAM und HST gegen Wrapped HBAR auf. Der Vorfall betraf das SAUCE-Paar. Bonzo erklärte, dass die legitime Veröffentlichung diesen Preis um etwa 0,1964 HBAR um 01:36 UTC wiederherstellte, fünf Minuten bevor der Kreditpool pausierte.
Der spätere Bericht von Bonzo erhöhte den bestätigten Hauptbetrag, der vom Hauptangreifer entnommen wurde, auf etwa 9,05 Millionen Dollar. Ein Beitrag von Wu Blockchain teilte ebenfalls die Erkenntnisse des Protokolls. Bonzo Lend bleibt pausiert, während Bonzo Finance Labs und die Bonzo Finance Foundation mit Partnern an der Wiederherstellung von Vermögenswerten, Reparaturen und Rückzugsplänen für Liquiditätsanbieter arbeiten. Das Team hat noch kein Datum für die Wiedereröffnung des Kreditpools festgelegt.