DeFi协议预言机漏洞致900万美金损失

Bonzo Lend预言机缺陷引发巨额资金外流,攻击路径深度解析

位于Hedera生态的去中心化借贷平台Bonzo Lend遭遇重大安全事件,造成约900万美元资产损失。事故根源在于其价格预言机系统对第三方数据的处理逻辑存在可被滥用的漏洞,使攻击者得以扭曲抵押品真实价值,进而超额借出流动性。

外部价格数据被恶意篡改,抵押品估值异常膨胀

攻击者通过向协议提交伪造的价格信息,将仅价值数美元的SAUCE代币估值放大至超出正常水平12个数量级。这一极端数值偏差触发了系统信任机制,使其获得远超实际担保额度的贷款权限,最终成功提取总计663万枚USDC及3450万枚封装版HBAR。

责任界定明确:漏洞非合约或底层链问题,而是数据接口设计缺陷

Bonzo Finance官方声明指出,此次事件并非由智能合约代码错误或Hedera主网本身的安全弱点引发,而是由于其预言机模块未能有效验证外部数据来源的真实性与合理性,从而形成可被操控的输入窗口。作为基于Hedera运行的借贷服务提供商,该平台核心功能依赖于外部定价信息,而当前架构未能充分防范此类操纵行为。

DeFi行业持续面临严峻安全挑战,信心与资本双重承压

2026年第二季度成为加密领域安全危机高发期,共记录83起针对DeFi项目的攻击事件,总损失达7.55亿美元。其中跨链桥漏洞贡献了3.51亿美元损失,价格操纵与权限泄露亦是主要诱因。同期,行业总锁定价值(TVL)从1月的1150亿美元骤降至6月的700亿美元以上,降幅高达39%。全年累计121起攻击事件造成约9.42亿美元资产流失。类似事件频发正加剧用户对系统可靠性的疑虑,影响长期资本流入与生态发展。