摘要:基于Hedera的借贷协议Bonzo Lend因Supra预言机验证缺陷遭遇攻击,攻击者利用零签名操纵价格,借出逾905万美元资产。协议已暂停功能,团队正推进修复与资金追回。

币圈界报道:
Bonzo Lend因预言机数据篡改导致约905万美元资产被非法提取
在2026年7月11日,基于Hedera网络的借贷协议Bonzo Lend遭遇严重安全事件,其核心抵押品SAUCE的价格被恶意操控,造成约905万美元的资产损失。攻击者通过向第三方Supra预言机合约提交虚假价格信息,将仅价值数美元的250枚SAUCE代币虚报为高价值资产。
虚假价格驱动大规模借贷行为,系统响应滞后
攻击者利用被操纵的预言机数据,在八秒内完成对663万枚USDC及超过3450万枚封装HBAR的借贷操作。尽管该异常价格仅持续数分钟,但已触发协议自动执行机制。随后,Bonzo于UTC时间01:41紧急暂停了Lend功能,并在当日稍晚停止Points服务,其余如Vaults、Bridge及单边质押仍维持运行。
零签名绕过验证机制,导致错误数据上链
调查指出,问题根源在于Supra验证器未能正确处理零签名输入。尽管更新数据携带的是空签名,而非有效委员会签名,但验证流程未进行有效拦截。配对检查逻辑误判零值为数学恒等点,使虚假数据被视作合法签名并传递至主网合约。
报告明确表示,未发生任何伪造签名的行为,实际市场中SAUCE价格并未上涨。事后,Supra已在主网上修复受影响验证器合约,防止类似漏洞再次出现。
协议严格遵循代码逻辑,无自身漏洞
Bonzo方面强调,其借贷合约完全依据外部预言机提供的数据执行计算,未存在内部缺陷或设计疏漏。系统在接收到被操控的数据后,按既定规则正常运行,排除了闪电贷攻击或常规市场操纵的可能性。
在异常期间,另一账户借出约100万美元,后主动联系团队自称为白帽响应者,承诺归还资产。该部分金额尚未计入最终损失总额,因归还状态仍在协商中,且未有官方确认。
跨链转移路径曝光,资产流向以太坊
在事件披露前,安全研究人员追踪到超过580万美元的资产经由LayerZero桥从Hedera转移至以太坊。部分资金通过封装比特币转换为以太币,引发市场波动,导致HBAR价格下跌超2%。
价格恢复及时,但损失已成定局
Bonzo的预言机文档显示,针对包括SAUCE、HBARX、XSAUCE在内的多个交易对均采用Supra数据源。此次事件影响了SAUCE/封装HBAR交易对。合法价格于UTC时间01:36恢复至约0.1964 HBAR,早于借贷池暂停五分种。
后续报告确认主要攻击者造成的总损失约为905万美元。目前,Bonzo Lend仍处于暂停状态,Bonzo Finance Labs与Foundation正联合合作伙伴开展资产追回、漏洞修复及流动性提供者提款方案制定工作,重新开放日期尚未公布。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。
