Kolejny poważny exploit w krypto! Błąd kosztował miliony dolarów

Kolejny poważny exploit w krypto! Błąd kosztował miliony dolarów

Atakujący wykorzystał błąd w zewnętrznym oracle Supra, wywindował cenę tokena SAUCE i pożyczył z protokołu Bonzo Lend środki warte miliony dolarów. Do incydentu doszło w nocy z 10 na 11 lipca 2026 roku na sieci Hedera, a skradzione aktywa niemal natychmiast trafiły mostem na Ethereum. Sam protokół Bonzo Lend został wstrzymany, a wśród inwestorów szybko pojawiło się pytanie, czy zawiodła cała sieć Hedera. Odpowiedź brzmi: nie.

Z tego tekstu dowiesz się:

  • na czym dokładnie polegał atak na Bonzo Lend i dlaczego to nie był hack sieci Hedera,
  • ile środków wypłynęło z protokołu i gdzie trafiły skradzione aktywa,
  • jak na incydent zareagował rynek i sam zespół Bonzo Finance.

Nie sieć, lecz oracle

Bonzo Finance to największy protokół pożyczkowy w ekosystemie Hedera, zbudowany na kodzie Aave v2 i przeniesiony na tamtejsze środowisko EVM. Do wyceny zastawianych aktywów korzysta z zewnętrznych dostawców danych cenowych, tak zwanych oracle. I to właśnie tam pojawił się problem.

Według dostępnych relacji badaczy onchain atakujący nie złamał samej Hedery ani kontraktów Bonzo, tylko wykorzystał lukę w weryfikatorze cen dostarczanym przez Supra. Mechanizm zadziałał tak, że system zaakceptował spreparowaną, absurdalnie zawyżoną cenę tokena SAUCE. Mając w portfelu niewielki zastaw wyceniony nagle na fortunę, napastnik pożyczył z protokołu duże ilości stablecoina USDC oraz zawiniętego HBAR. Łączną wartość wypłaconych środków szacuje się na okolice dziewięciu milionów dolarów, choć dokładna kwota wciąż jest ustalana.

Kluczowe jest rozróżnienie, które od początku podkreślała społeczność Hedera. Kontrakty Bonzo działały zgodnie z tym, co podawał im feed cenowy, a sieć przetwarzała transakcje bez zakłóceń. Zawiódł element trzeci, czyli zewnętrzny dostawca danych. Dostawca oracle miał już naprawić wadliwy kontrakt weryfikatora. To rozróżnienie ma znaczenie nie tylko wizerunkowe, bo pokazuje, że ryzyko w DeFi coraz częściej leży poza samym łańcuchem, w warstwie infrastruktury, na której opierają się protokoły.

Ślad prowadzi na Ethereum

Skradzione środki nie zostały na Hederze. Firmy analityczne Specter i PeckShield ustaliły, że napastnik przerzucił aktywa na Ethereum za pośrednictwem mostu LayerZero, a następnie zaczął zamieniać zawiniętego Bitcoina na Ethereum. Według PeckShield na jednym z adresów zgromadziło się w pewnym momencie około 2360 ETH warte mniej więcej 4,25 miliona dolarów oraz ponad 15 jednostek WBTC o wartości bliskiej miliona dolarów. Analitycy zwrócili też uwagę, że portfel napastnika został pierwotnie zasilony jednym ETH pochodzącym z miksera Tornado Cash, co jest typowym sposobem zacierania śladów. Kolejne aktualizacje wskazywały, że część środków wróciła do Tornado Cash.

Warto zaznaczyć, że wskazanie źródła finansowania portfela nie przesądza, kto stoi za atakiem. Żadna z firm nie zidentyfikowała sprawcy, a oficjalnego bilansu strat na moment powstawania tekstu nie ogłoszono.

Na rynku spokojnie

Rynek zareagował umiarkowanie. HBAR spadł o ponad dwa procent i był handlowany w okolicach 0,069 dolara, a token BONZO stracił w ciągu dnia znacznie więcej. Zespół Bonzo Finance wstrzymał moduł pożyczkowy oraz program punktów, zapewniając, że pozostałe elementy protokołu pozostają nietknięte. W tle toczą się rozmowy z jednym z uczestników zdarzenia, który zachował się jak white hat i zadeklarował zwrot pożyczonych środków rzędu miliona dolarów.

Redakcja BitHub.pl poleca również:

Circle może otworzyć regulowany bank. Co to oznacza dla kryptowalutowego giganta?

Tom Lee: Ethereum osiągnie 41,5 tys. USD i wzrośnie do 5 bilionów USD. To drugi Bitcoin?

Jak historycznie zachowywało się Ethereum w lipcu? Dane pokazują wyraźny trend

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!