DeFi协议Bonzo Lend遭900万美金攻击,预言机漏洞成重灾区

Bonzo Lend因预言机操控损失逾900万美元,攻击路径深度解析

运行于Hedera网络的去中心化借贷平台Bonzo Lend遭遇严重安全事件,导致约900万美元资产被非法提取。攻击核心在于协议所依赖的预言机系统存在可被利用的验证漏洞,使攻击者得以将极低价值的抵押品虚报为巨额资产。

小额抵押品被恶意放大12个数量级以套取贷款

调查显示,攻击者初始仅存入250单位价值不足数美元的SAUCE代币,随后提交一份经篡改的价格更新,使该代币估值被夸大至原值的12亿倍。凭借这一虚假定价,攻击者成功从借贷池中借出663万USDC及3450万枚封装HBAR。该操作揭示了协议在信任外部价格数据时缺乏有效校验机制。

非协议或网络漏洞,根源在于预言机验证机制缺陷

Bonzo Finance指出,此次事件并非其智能合约或底层Hedera账本被攻破,而是由于依赖的Supra链上预言机验证器存在逻辑缺陷——允许零签名提交伪造的价格更新。该问题已由Supra官方确认并完成修复,但损失已无法挽回。

2026年第二季度DeFi攻击频发,总损失逼近7.6亿美元

数据显示,2026年第二季度共发生83起针对DeFi协议的攻击事件,累计造成约7.55亿美元损失。其中跨链桥攻击导致3.51亿美元资金流失,而涉及管理员权限滥用与代币价格操纵的攻击占比达总损失的37%。同期,行业总锁仓价值(TVL)从1月的1150亿美元下滑至6月的700亿美元,降幅达39%,反映出安全事件对用户信心的持续冲击。

同类事件频现,预言机安全成行业共性挑战

在Bonzo Lend遭袭前,Stellar网络上的YieldBlox DAO也遭遇相似攻击:攻击者通过操控USTRY代币的价格路径,借出远超实际抵押价值的资产,并盗走约1000万美元。此类事件反复印证,尽管智能合约审计与区块链基础设施不断演进,但对外部数据源的依赖仍构成关键薄弱环节,成为黑客频繁瞄准的目标。