Що сталося
Увечері 11 липня 2026 року найбільший кредитний протокол мережі Hedera, Bonzo Lend, втратив $9,05 млн через маніпуляцію ціновим фідом стороннього оракула Supra. Зловмисник вніс як заставу 250 токенів SAUCE вартістю в кілька доларів, після чого провів через оракул підроблене оновлення ціни — і за 8 секунд позичив 6,63 млн USDC та 34,52 млн wrapped HBAR (wHBAR), повідомляє The Defiant. Bonzo Lend і програму Bonzo Points одразу поставили на паузу.
Деталі
Проблема була не в коді Bonzo, а у верифікаторі Supra: він прийняв вироджений BLS-підпис з обнуленим публічним ключем як валідний, що дало змогу записати в блокчейн завідомо хибну ціну SAUCE — завищену приблизно на 12 порядків (The Defiant, CoinDesk). Саме ця фіктивна ціна перетворила скромну заставу на підставу для багатомільйонної позики.
За даними CoinDesk, після атаки TVL самого Bonzo Lend обвалився на 77% за 24 години (до близько $3 млн), а сукупний TVL DeFi-екосистеми Hedera знизився приблизно на 40% за той самий період. Понад $5,25 млн зловмисник уже перевів через міст LayerZero в Ethereum і обміняв на ETH.
Окремо від основної суми, другий гаманець позичив ще близько $1 млн, але його власник зв’язався з командою Bonzo через Discord, назвався white hat-дослідником і заявив про намір повернути кошти (The Block, CoinDesk) — цю суму Bonzo не включає до підсумкової оцінки збитків. Vaults, Bridge і стейкінг BONZO/XBONZO атака не зачепила. Supra вже випустила патч для вразливого верифікатора. У коментарі The Block команда Bonzo підкреслила, що зловмисник не зламав криптографію і не викрав ключ підпису — він знайшов спосіб змусити верифікатор прийняти завідомо невалідне оновлення.
Що це означає
Кого стосується: користувачів Bonzo Lend і вкладників DeFi-протоколів Hedera загалом — обвал TVL екосистеми майже на 40% б’є по ліквідності та довірі до всіх локальних кредитних майданчиків, не лише до Bonzo. Власників SAUCE і wHBAR це стосується безпосередньо: саме ці активи використали в маніпуляції.
Ризик із цифрою: протокол уже втратив $9,05 млн (плюс до $1 млн під питанням повернення від white hat), а його TVL стиснувся більш ніж у 4 рази за добу — це різкий навіс недовіри, через який нові депозити в Bonzo та суміжні протоколи Hedera найближчим часом малоймовірні. Вразливість була не в самому Bonzo, а в сторонньому оракулі Supra, яким користуються й інші проєкти — це системний ризик для будь-якого протоколу, що покладається на той самий фід.
Горизонт: Bonzo Lend і Points досі на паузі прямо зараз, відновлення залежить від аудиту після патча Supra та результату перемовин із white hat-гаманцем; помітного відновлення TVL екосистеми Hedera варто чекати не раніше, ніж протокол зніме паузу й підтвердить усунення вразливості.
Контекст
Це вже не перший випадок, коли DeFi-протокол страждає не через власний код, а через сторонній оракул — механіка схожа на класичні маніпуляції price feed, тільки тут підвела не економіка (флеш-позики), а сам процес верифікації підпису. Інцидент — чергове нагадування, що аудит смарт-контракту протоколу нічого не каже про безпеку залежностей, які він підключає.
