Incidente de Bonzo Lend
El protocolo de préstamos basado en Hedera, Bonzo Lend, sufrió una pérdida aproximada de $9.05 millones debido a la manipulación del precio de SAUCE, que se utilizó como colateral. Bonzo Finance Labs informó que el incidente tuvo lugar el 11 de julio de 2026, cuando un atacante envió un precio falso de SAUCE a un contrato de oráculo de terceros, conocido como Supra.
Detalles del Ataque
El atacante depositó 250 SAUCE, que en realidad valían solo unos pocos dólares, pero el feed de precios los trató como si fueran altamente valiosos. Ocho segundos después de que el precio falso se propagara en la red, la billetera solicitó un préstamo de 6.63 millones de USDC y más de 34.5 millones de HBAR envueltos.
Bonzo describió la pérdida principal como “aproximadamente $9.05 millones”.
El protocolo pausó Bonzo Lend a la 01:41 UTC y detuvo Bonzo Points más tarde esa mañana. Sin embargo, Bonzo Vaults, Bonzo Bridge y el staking de BONZO unidireccional continuaron operando.
Causas del Incidente
El informe del incidente de Bonzo atribuyó el evento a un fallo en el proceso de verificación de firmas de Supra. La actualización contenía una firma en cero en lugar de una firma válida del comité de oráculos de Supra. Bonzo indicó que el verificador no rechazó las entradas de valor cero antes de enviarlas al contrato del sistema de emparejamiento de Hedera.
La verificación de emparejamiento devolvió verdadero porque ambos valores representaban el mismo punto de identidad matemática. El contrato de Supra trató ese resultado como prueba de una firma válida del comité. Bonzo afirmó que
“no se forjó ninguna firma de oráculo válida”
y que el precio real de mercado de SAUCE no había aumentado.
Acciones Posteriores
Desde entonces, Supra ha implementado una solución al contrato de verificador afectado en la red principal de Hedera. Bonzo explicó que sus contratos de préstamos leyeron el valor manipulado del feed de oráculos aprobado y calcularon el poder de préstamo a partir de esos datos. El equipo declaró que el fondo de préstamos actuó como estaba diseñado tras recibir la entrada falsa.
Su informe descartó un error en el contrato de Bonzo, un ataque de préstamo relámpago y la manipulación normal del mercado. Una segunda cuenta pidió prestado alrededor de $1 millón mientras el precio anormal permanecía activo. Esa billetera luego contactó al equipo y se describió a sí misma como un respondedor de sombrero blanco, indicando que planeaba devolver los activos.
Bonzo excluyó esa cantidad de su cifra de pérdida de $9.05 millones porque las conversaciones de recuperación siguen activas. El informe publicado no había confirmado el retorno de esos activos.
Impacto en el Mercado
Antes de que Bonzo publicara sus hallazgos, crypto.news informó que investigadores de seguridad habían rastreado más de $5.8 millones moviéndose de Hedera a Ethereum. Los investigadores indicaron que la billetera trasladó activos a través de LayerZero y convirtió parte de sus tenencias de Bitcoin envuelto en Ether. HBAR cayó más de un 2% a medida que continuaban las transferencias.
La documentación del oráculo de Bonzo enumera los feeds de Supra para SAUCE, HBARX, XSAUCE, DOVU, PACK, KARATE, STEAM y HST contra HBAR envuelto. El incidente afectó el par SAUCE. Bonzo indicó que la publicación legítima restauró ese precio a aproximadamente 0.1964 HBAR a la 01:36 UTC, cinco minutos antes de la pausa del fondo de préstamos.
El posterior informe de Bonzo elevó el monto confirmado tomado por el atacante principal a aproximadamente $9.05 millones. Una publicación de Wu Blockchain también compartió los hallazgos del protocolo.
Estado Actual
Bonzo Lend sigue pausado mientras Bonzo Finance Labs y la Fundación Bonzo Finance trabajan con socios en la recuperación de activos, reparaciones y planes de retiro para los proveedores de liquidez. El equipo no ha fijado una fecha para reabrir el fondo de préstamos.