Мова
Швидкий доступ
Обране
Інформація
Мобільні застосунки
Завантажити в App StoreЗавантажити з Google Play
Ми в соціальніх мережах
Атака на оракул коштувала Bonzo Lend $9 мільйонів
Безпека

Атака на оракул коштувала Bonzo Lend $9 мільйонів

11 липня 2026 р.4 хв читання

Невідомий зловмисник вивів $9 мільйонів із кредитного протоколу Bonzo Lend у мережі Hedera. Атака стала можливою через ваду в оракулі Supra, який визначає ціну застави в протоколі. Про інцидент повідомило видання Cointelegraph з посиланням на дані аналітиків.

Що саме сталося?

За даними Cointelegraph, зловмисник скористався вадою у верифікаторі ончейн-оракула Supra. Оракул є сервісом, який передає смарт-контрактам актуальну ринкову ціну токенів, аби протокол міг правильно оцінити заставу користувача. Коли ця ланка дає збій, весь ланцюжок розрахунків протоколу опиняється під загрозою.

У цьому випадку вада дозволила штучно завищити ціну токена SAUCE, який зловмисник використав як заставу. Отримавши завищену оцінку застави, він позичив у Bonzo Lend $9 мільйонів, набагато більше, ніж реальна вартість внесених токенів дозволяла б за нормальних умов. Формально протокол просто виконав позику за правилами, які самі спиралися на неправдиві дані.

Наразі не повідомляється, скільки часу минуло між моментом маніпуляції курсом і моментом видачі позики. У більшості подібних атак це питання секунд чи навіть однієї транзакції: зловмисник підвищує ціну застави, миттєво бере позику під новий курс і повертає котирування назад раніше, ніж хтось встигає відреагувати.

Чим особливі Bonzo Lend і мережа Hedera?

Bonzo Lend належить до головних кредитних протоколів мережі Hedera, застосунку, який давно позиціонує себе як enterprise-орієнтована альтернатива традиційним блокчейнам. SAUCE є рідним токеном SaucerSwap, однієї з провідних децентралізованих бірж на Hedera, тому саме через нього часто рухається ліквідність усередині мережі.

Hedera помітно менша за Bitcoin чи Ethereum за обсягом заблокованих активів, тому одна атака на $9 мільйонів відчутно впливає на загальну статистику мережі. На великих мережах подібна сума радше загубилася б серед щоденних обсягів торгів.

Supra позиціонує себе як провайдер оракулів нового покоління, що обіцяє швидші й дешевші оновлення цін порівняно з традиційними рішеннями. Саме такі молоді проєкти найчастіше стають ціллю атак, бо їхні механізми верифікації ще не пройшли перевірку часом і масштабом, які вже мають оракули-ветерани на кшталт Chainlink.

Суть: Вада в ціновому оракулі Supra дозволила завищити вартість застави і позичити $9 мільйонів, яких реальне забезпечення не покривало.
Деталі атаки
ПротоколBonzo Lend
МережаHedera
Уразливий компоненторакул Supra
Сума збитку$9 млн

Чому оракули так часто стають мішенню хакерів?

Оракули лишаються однією з найвразливіших ланок у DeFi, бо поєднують ончейн-логіку протоколу з ринковими даними поза мережею. Смарт-контракт сам по собі може бути написаний бездоганно, але якщо джерело ціни бреше, весь захист втрачає сенс.

Якщо оракул можна ввести в оману навіть на кілька секунд, зловмисник встигає провести позику чи обмін за фейковою ціною раніше, ніж систему встигнуть виправити. Подібні атаки роками залишаються одним з найпоширеніших способів вивести кошти з кредитних протоколів у різних мережах, від великих до нішевих. За цей час маніпуляції з оракулами стали одним з головних джерел збитків у DeFi поряд з помилками в смарт-контрактах і крадіжкою приватних ключів. У переважній більшості таких випадків проблема була не в логіці самого протоколу, а саме в джерелі даних, яким він довіряв.

  • Маніпуляція ціною: зловмисник штучно змінює курс токена, який бачить оракул
  • Затримка оновлення даних оракула відносно реального ринку
  • Використання низьколіквідного токена, курс якого легко зрушити невеликою сумою
  • Відсутність незалежної перевірки даних із кількох джерел одразу
  • Брак затримки чи ліміту на різку зміну курсу за одну транзакцію

Розробники протоколів роками намагаються закрити ці прогалини, додаючи затримки оновлення цін чи звірку одразу з кількома незалежними джерелами. Але кожен новий оракул чи нова мережа знову проходить той самий шлях спроб і помилок, поки хтось не знайде слабке місце раніше за команду розробників.

Що це означає для користувачів Hedera?

Для звичайного користувача атака на оракул означає передусім падіння довіри до конкретного протоколу, а не до всієї мережі як такої. Bonzo Lend доведеться відновлювати ліквідність і, ймовірно, переглядати інтеграцію з оракулом, який підвів систему. Для тих, хто тримає кошти в кредитних протоколах на будь-якій мережі, ця історія стає зайвим нагадуванням перевіряти, скільки джерел цін використовує протокол і чи є захист від різких стрибків курсу за одну транзакцію.

Для мережі Hedera подібні інциденти особливо чутливі, бо конкуренція за розробників і ліквідність між невеликими мережами і без того висока. Кожен великий злом на такій мережі підсилює аргумент скептиків, які вважають альтернативні блокчейни менш перевіреними в бою, ніж лідери ринку.

Що буде далі?

На момент публікації протокол Bonzo Lend не оприлюднив офіційної заяви про статус вкрадених коштів. Подібні історії зазвичай завершуються одним із двох сценаріїв. Або команда домовляється зі зловмисником про часткове повернення коштів в обмін на відмову від переслідування, або кошти назавжди залишаються поза протоколом.

Для всієї DeFi-індустрії кожен такий випадок стає ще одним аргументом на користь незалежного аудиту оракулів, а не лише смарт-контрактів самого протоколу. Поки що це залишається слабким місцем навіть у найзріліших DeFi-проєктах.

Коментарі

Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *

або підтвердіть через email