Le protocole de prêt basé sur Hedera, Bonzo Finance, a été victime d’une attaque contre son oracle, entraînant des pertes d’environ 9 millions de dollars américains. L’attaquant a utilisé des actifs en garantie — dont le prix du jeton SAUCE avait été artificiellement gonflé — pour emprunter depuis le protocole des actifs bien supérieurs à leur valeur réelle. Selon le rapport préliminaire sur l’incident publié par Bonzo Finance, l’attaquant n’a déposé que 250 jetons SAUCE, puis a soumis une seule mise à jour de prix, augmentant artificiellement la valeur de ce jeton d’environ 12 ordres de grandeur ; ensuite, cette adresse a emprunté 6,63 millions de $USDC et 34,5 millions de $hbar encapsulés (wrapped $HBAR) depuis le pool de prêt.
Cette attaque ne résulte pas d’une vulnérabilité dans les contrats intelligents de Bonzo Finance ni dans le réseau sous-jacent Hedera lui-même, mais découle d’une faille présente dans le validateur d’oracle en chaîne de $Supra, fournisseur d’oracles : ce dernier a erronément accepté une donnée de prix pour le jeton SAUCE dont la signature avait été remplacée par des zéros. $Supra a confirmé ce problème et y a apporté une correction.[Odaily]