去中心化借貸協議 Bonzo Lend(運行於 Hedera 網絡 $HBAR 上)於美國東部時間週五晚間遭駭客攻擊,損失約 905 萬美元。根據 Bonzo 發布的初步事故報告,駭客利用了第三方 $Supra 奧拉(oracle)驗證器的一處漏洞,提交了虛假的 SAUCE 代幣價格。
該協議在攻擊發生後不久即暫停了 Bonzo Lend 服務;其積分計畫亦同步中止;但 Bonzo 的金庫、跨鏈橋接與質押產品未受影響。Hedera 於 X 平台發文指出,此次事件僅限於第三方奧拉驗證器,並未涉及 Hedera 網絡核心基礎設施的缺陷。據報告顯示,駭客於美國東部時間週五晚間約 8 時 40 分,以僅值數美元的 250 枚 SAUCE 代幣作為抵押品,隨後向 $Supra 的按需奧拉(on-demand oracle)合約提交一筆價格更新,將該代幣價值人為高估約 12 個數量級。當時 SAUCE 交易價格約為 0.2 $HBAR;而被篡改的價格更新則標示為「1 後面跟 30 個零」。這筆被篡改的價格於美國東部時間週五晚間 8 時 51 分上鏈後數秒內,該錢包即憑藉這筆近乎毫無價值的抵押,借出約 663 萬 $USDC 及 3450 萬枚 wrapped $HBAR。Bonzo 依據約每枚 $HBAR 0.07 美元的參考價,估算所提取本金總值約為 905 萬美元。該偽造價格更新所附帶的密碼學簽章,完全由零組成。$Supra 的驗證器本應立即拒絕此類簽章,卻因合約驗證簽章邏輯存在缺陷,反將其視為有效。這使得駭客得以在未經 $Supra 合法簽署者批准的情況下提交價格。簡言之,駭客並未破解 $Supra 的密碼學機制,也未竊取簽署私鑰;而是找到了一種方法,讓驗證器接受一份明顯無效的價格更新。Bonzo 表示,$Supra 已承認此問題,並已在 Hedera 主網上針對受影響的驗證器合約部署修復方案。「正因有了這項修復,以及隨之而來對合約行為進行檢視的能力,我們才能完整闡述此次攻擊的機制。」Bonzo 團隊寫道。另有一個錢包在錯誤價格生效期間借出了約 100 萬美元,隨後主動聯繫 Bonzo 團隊,表明自身為白帽響應者(white-hat responder),並聲明有意歸還資金。Bonzo 已將該筆金額排除於 headline 數字之外;否則總損失金額將達約 1006 萬美元。鏈上調查員 Specter 在 Bonzo 確認攻擊源頭前,率先標註出從 Hedera 流向 Ethereum 的異常資金流動。合法的奧拉價格更新於美國東部時間週五晚間 9 時 36 分恢復 SAUCE 的真實價格;Bonzo 於五分鐘後(即晚間 9 時 41 分)暫停其借貸池。本次事件延續了加密貨幣領域今年頻繁遭受攻擊的嚴峻態勢。根據 Immunefi 數據,2026 年上半年已發生創紀錄的 207 起攻擊事件,項目累計損失約 9.72 億美元。此外,本次事件亦符合當前更廣泛的趨勢:安全漏洞正逐步從應用程式核心合約,轉向基礎設施層面失效、私鑰遭竊,以及特權存取權限弱點等——類似近期疑似 Gravity Bridge 私鑰遭竊,以及 Kelp DAO 橋接驗證機制遭利用等案例。免責聲明:The Block 是一家獨立媒體機構,致力提供新聞、研究與數據。截至 2023 年 11 月,Foresight Ventures 是 The Block 的控股投資方。Foresight Ventures 同時也在加密貨幣領域投資其他公司。加密交易所 Bitget 是 Foresight Ventures 的錨定有限合夥人(anchor LP)。The Block 仍持續獨立運作,以提供客觀、具影響力且及時的加密產業資訊。詳見我們目前的財務披露聲明。© 2026 The Block。版權所有。本文僅供資訊參考之用,不構成法律、稅務、投資、財務或其他建議。