Bonzo Lend, giao thức cho vay lớn nhất trong hệ sinh thái Hedera, đã thông báo rằng họ đã gánh chịu khoản lỗ khoảng 9,05 triệu đô la do khai thác lỗ hổng trong một oracle giá của bên thứ ba. Sau vụ tấn công, các dịch vụ Bonzo Lend và Bonzo Points đã tạm thời bị đình chỉ.
Theo báo cáo sự cố được công bố bởi Bonzo Finance Labs phối hợp với Bonzo Finance Foundation, vụ tấn công xảy ra vào ngày 11 tháng 7 năm 2026, vào khoảng 00:51 UTC (03:51 UTC+3). Kẻ tấn công đã vay được số lượng lớn hơn đáng kể so với giá trị thực của SAUCE với một lượng tài sản thế chấp thấp bằng cách gửi một mức giá SAUCE bị thao túng đến hệ thống oracle $Supra mà Bonzo Lend sử dụng.Bonzo lập luận rằng lỗ hổng bảo mật không bắt nguồn từ các hợp đồng thông minh của riêng họ hoặc thiết kế của giao thức cho vay. Công ty cho biết vấn đề nằm ở cơ chế xác minh chữ ký của oracle giá trên chuỗi của bên thứ ba mà Bonzo Lend sử dụng.Theo báo cáo, tài khoản đầu tiên mà kẻ tấn công sử dụng đã gửi một mức giá SAUCE bị thao túng bằng $HBAR đến hợp đồng cập nhật giá theo yêu cầu của oracle trên mạng chính Hedera. Trong khi giá thị trường thực tế của SAUCE khoảng 0,2 $HBAR, giá trị mà kẻ tấn công gửi được hiển thị cao hơn khoảng 12 chữ số thập phân so với giá thực tế.Chỉ tám giây sau khi mức giá bị thao túng được ghi nhận trên chuỗi, kẻ tấn công đã sử dụng một lượng nhỏ SAUCE đầu tư làm tài sản thế chấp. Do dữ liệu oracle, giao thức đã tính toán giá trị của tài sản thế chấp này là cực kỳ cao, dẫn đến việc kẻ tấn công vay được tài sản vượt xa giá trị thực của tài sản thế chấp đã gửi.Theo điều tra của Bonzo, việc cập nhật giá bị thao túng đã được chấp nhận vì trình xác thực trên chuỗi của $Supra đã xác nhận bằng chứng mà không có chữ ký hợp lệ. Nhóm cho biết thêm rằng kẻ tấn công đã không làm giả chữ ký oracle hợp lệ và không có sự thay đổi nào về giá thị trường thực tế của SAUCE.Giao thức cho biết mức giá không chính xác lẽ ra đã bị từ chối ở lớp xác thực của oracle trước khi đến Bonzo Lend, nhưng hệ thống xác thực đã không thực hiện được điều đó.Được biết, một tài khoản thứ hai cũng đã vay thêm tài sản từ giao thức trong khi dữ liệu giá bất thường còn hoạt động. Bonzo cho biết tài khoản này sau đó đã liên hệ với nhóm, tự nhận là nhà nghiên cứu bảo mật mũ trắng và bày tỏ ý định trả lại tiền. Giao dịch này đang được giao thức xem xét như một phần của quy trình phục hồi.Được báo cáo rằng chỉ các dịch vụ Bonzo Lend và Bonzo Points bị ảnh hưởng bởi vụ tấn công. Bonzo Vaults, Bonzo Bridge và các dịch vụ staking và unstaking một chiều cho BONZO và XBONZO tiếp tục hoạt động bình thường. Một biểu đồ cho thấy sự sụt giảm giá của BONZO.Hồ bơi cho vay tại Bonzo Lend đã bị đình chỉ trong khi các đánh giá và nỗ lực phục hồi tiếp tục. Bonzo Finance Labs và Bonzo Finance Foundation đã thông báo rằng họ đang đánh giá các điều kiện mà theo đó giao thức có thể được mở lại và quy trình để các nhà cung cấp thanh khoản rút tài sản của họ. Nhóm cho biết chi tiết về việc bồi thường cho người dùng, phục hồi tiền và kích hoạt lại giao thức sẽ được chia sẻ sau trong một thông báo riêng.*Đây không phải là lời khuyên đầu tư.