Bonzo Lend, ein dezentrales Lending-Protokoll im Hedera-Netzwerk, hat rund $9,05 Millionen verloren, nachdem ein Angreifer eine Prüfschwäche in einem Drittanbieter-Oracle-Vertrag von Supra ausgenutzt und Vermögenswerte geliehen hatte, die den Wert der hinterlegten Sicherheiten weit überstiegen. Der Angreifer zahlte 250 SAUCE-Token mit vernachlässigbarem Wert ein und übermittelte ein manipuliertes Preis-Update, das ihren in HBAR denominierten Wert künstlich erhöhte, wie aus einem vorläufigen Vorfallsbericht von Bonzo hervorgeht.
Das Protokoll erklärte, das Konto habe anschließend 6,63 Millionen USDC und 34,52 Millionen Wrapped HBAR geliehen. Beim im Bericht genannten HBAR-Referenzpreis von $0,06998 hatten die beiden Abhebungen einen Wert von rund $9,05 Millionen. Eine zweite Wallet lieh weitere Vermögenswerte im Wert von $1 Million, solange der ungewöhnliche Preis aktiv war, und kontaktierte Bonzo später über Discord. Sie gab sich als White-Hat-Responder aus und erklärte, die Mittel zurückgeben zu wollen. Bonzo nahm diese Vermögenswerte nicht in die ausgewiesene Verlustschätzung auf und bezifferte den während des Vorfalls geliehenen Gesamtbetrag vor Rückflüssen auf rund $10,06 Millionen.
Warum das wichtig ist
Der Angriff liegt in der Oracle-Preisverifizierungsschicht, nicht in der Lending-Logik selbst. Ein manipulierter Feed wurde als maßgeblich akzeptiert. Das ist dieselbe Fehlerklasse, die 2022 bei Mango Markets rund $400 Millionen vernichtete und im November 2023 Post-Mortems über mehrere Lending-Märkte hinweg auslöste. Bonzos Fall ist in Dollar gemessen kleiner, doch das Muster zählt: Oracles bleiben die am stärksten konzentrierte Einzelabhängigkeit im DeFi-Lending, und eine einzige Lücke in der Verifizierung kann triviale Sicherheiten in einer einzelnen Transaktion in Kredite im achtstelligen Bereich verwandeln.
Der Vorfall bündelt zudem Risiko im Hedera-Ökosystem. DeFiLlama zeigt, dass Hederas Total Value Locked binnen 24 Stunden um fast 40% auf $25,7 Millionen fiel, während Bonzos eigener TVL um 77% sank. In einem so kleinen Netzwerk reicht ein einziger Exploit, um den Sektor neu zu definieren.
Marktauswirkung
Der HBAR-Preisreferenzwert im Bonzo-Bericht ($0,06998) ist bislang der einzige stabile Anker. Die abgeflossene Asset-Mischung, USDC plus Wrapped HBAR, deutet darauf hin, dass der Angreifer sowohl stabile als auch native Liquidität ins Visier nahm.
Häufig gestellte Fragen
-
Wie funktionierte der Exploit bei Bonzo Lend?
Der Angreifer zahlte 250 SAUCE-Token mit niedrigem Wert ein und übermittelte ein manipuliertes Preis-Update, das an einer Prüfschwäche in einem Drittanbieter-Oracle-Vertrag von Supra vorbeikam. Dadurch konnte er Vermögenswerte leihen, die die hinterlegten Sicherheiten weit überstiegen.
-
Wie viel verlor Bonzo Lend bei dem Oracle-Exploit?
Bonzos vorläufiger Bericht beziffert den Hauptverlust auf rund $9,05 Millionen in 6,63M USDC und 34,52M Wrapped HBAR. Eine zweite Wallet lieh weitere $1M, solange der falsche Preis aktiv war, wodurch der Gesamtbetrag vor Rückflüssen auf etwa $10,06M stieg.
-
Was geschah nach dem Exploit mit Hederas Total Value Locked?
Daten von DeFiLlama zeigen, dass Hederas TVL binnen 24 Stunden um fast 40% auf $25,7 Millionen fiel. Bonzos eigener TVL sank um 77%, was zeigt, wie stark die DeFi-Liquidität des Netzwerks auf ein einzelnes Protokoll konzentriert ist.
-
War der Bonzo-Lend-Exploit ein Supra-Oracle-Problem oder ein Bonzo-Fehler?
Bonzos vorläufiger Vorfallsbericht verweist auf eine Prüfschwäche im Drittanbieter-Oracle-Vertrag von Supra, nicht in Bonzos Lending-Logik. Der Feed akzeptierte ein manipuliertes Preis-Update als maßgeblich, dieselbe Fehlerklasse, die auch andere Lending-Märkte getroffen hat.
-
Wurden die Mittel aus dem Bonzo-Exploit zurückgeholt?
Eine zweite Wallet, die während des Vorfalls rund $1M geliehen hatte, kontaktierte Bonzo über Discord, gab sich als White-Hat-Responder aus und erklärte, die Mittel zurückgeben zu wollen. Bonzo nahm diese Vermögenswerte bis zur tatsächlichen Rückholung nicht in die Hauptverlustschätzung auf.
CoinDesk