DeFi协议Bonzo Lend遭900万美金攻击,预言机漏洞成重灾区
Bonzo Lend因预言机操控损失逾900万美元,攻击路径深度解析
运行于Hedera网络的去中心化借贷平台Bonzo Lend遭遇严重安全事件,导致约900万美元资产被非法提取。攻击核心在于协议所依赖的预言机系统存在可被利用的验证漏洞,使攻击者得以将极低价值的抵押品虚报为巨额资产。
小额抵押品被恶意放大12个数量级以套取贷款
调查显示,攻击者初始仅存入250单位价值不足数美元的SAUCE代币,随后提交一份经篡改的价格更新,使该代币估值被夸大至原值的12亿倍。凭借这一虚假定价,攻击者成功从借贷池中借出663万USDC及3450万枚封装HBAR。该操作揭示了协议在信任外部价格数据时缺乏有效校验机制。
非协议或网络漏洞,根源在于预言机验证机制缺陷
Bonzo Finance指出,此次事件并非其智能合约或底层Hedera账本被攻破,而是由于依赖的Supra链上预言机验证器存在逻辑缺陷——允许零签名提交伪造的价格更新。该问题已由Supra官方确认并完成修复,但损失已无法挽回。
2026年第二季度DeFi攻击频发,总损失逼近7.6亿美元
数据显示,2026年第二季度共发生83起针对DeFi协议的攻击事件,累计造成约7.55亿美元损失。其中跨链桥攻击导致3.51亿美元资金流失,而涉及管理员权限滥用与代币价格操纵的攻击占比达总损失的37%。同期,行业总锁仓价值(TVL)从1月的1150亿美元下滑至6月的700亿美元,降幅达39%,反映出安全事件对用户信心的持续冲击。
同类事件频现,预言机安全成行业共性挑战
在Bonzo Lend遭袭前,Stellar网络上的YieldBlox DAO也遭遇相似攻击:攻击者通过操控USTRY代币的价格路径,借出远超实际抵押价值的资产,并盗走约1000万美元。此类事件反复印证,尽管智能合约审计与区块链基础设施不断演进,但对外部数据源的依赖仍构成关键薄弱环节,成为黑客频繁瞄准的目标。
一分钟读懂:Hedera链上借贷协议Bonzo Lend因预言机机制缺陷遭遇重大攻击,攻击者通过操纵SAUCE代币价格,提取超900万美元资金。事件暴露了当前DeFi系统对外部数据依赖的深层风险。
