Hedera借贷协议遭预言机攻击,905万美元资产被盗

Web3 2026-07-13 02:08:35
核心提要:基于Hedera的借贷协议Bonzo Lend因Supra预言机验证缺陷遭遇恶意价格操纵,导致约905万美元资产被借出。攻击者利用零签名漏洞篡改SAUCE代币价格,协议已暂停服务并启动追回程序。

预言机漏洞致借贷协议遭重创:905万美元资产被非法提取

在2026年7月11日,基于Hedera网络的借贷协议Bonzo Lend遭遇严重安全事件,造成约905万美元资产流失。攻击者通过操控第三方Supra预言机合约中的SAUCE代币价格,成功将仅价值数美元的250枚SAUCE伪造成高价值抵押品,进而借出大量资金。

虚假价格驱动大规模借贷行为,系统八秒内响应

攻击者伪造的高估值信息被传入主网后,该钱包在短短八秒内即完成663万枚USDC与超过3450万枚封装HBAR的借款操作。此轮交易触发了协议风控机制,导致Bonzo Lend于UTC时间01:41紧急暂停,随后上午晚些时分,Bonzo Points功能也被关闭。目前,Bonzo Vaults、Bonzo Bridge及单边BONZO质押仍正常运行。

零签名绕过验证器审查,引发数据污染链

事件根源被追溯至Supra验证器对签名输入的校验缺陷。尽管更新请求携带的是无效的零签名,但验证器未进行有效拦截,错误地将其视为合法委员会签名。由于配对检查函数返回真值(两个点均为数学恒等点),系统误判为有效签名,从而将虚假价格推送至Hedera主网。据报告,该问题已在事后修复。

协议合约依规执行,无内部漏洞迹象

Bonzo团队强调,其借贷逻辑完全依照预设代码运行,仅依据经验证的预言机数据判断抵押率。在异常价格持续期间,第二个账户也借出约100万美元,该账户随后主动联系项目方,自称为白帽响应者,并承诺归还所借资产。因此,这部分金额未计入最终损失总额,追回进展仍在协商中,尚未确认到账。

跨链转移加速资产外流,市场波动加剧

在官方披露调查结果前,安全研究人员追踪到超过580万美元资产从Hedera网络经由LayerZero桥转入以太坊生态。部分资金被转换为以太币,另有持仓转为封装比特币。随着大额转账持续,原生代币HBAR价格应声下跌逾2%。

价格恢复早于停服,后续修复与追偿同步推进

根据官方文档,合法价格在UTC时间01:36恢复至约0.1964 HBAR,比借贷池暂停提前五分钟。此次事件仅影响SAUCE对封装HBAR的定价,其他如HBARX、XSAUCE、DOVU、PACK、KARATE、STEAM和HST等交易对未受影响。目前,Bonzo Finance Labs与基金会正联合多方开展资产追回工作,同时制定流动性提供者的提款方案,但重新开放借贷池的时间仍未公布。

上一篇 WLD重估在即?三大阻力位成转折关键...
下一篇 Coinbase Ventures上半年...

声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!

币安 Binance
币安交易所是全球加密货币交易所,注册奖励 500U