Hedera 表示,漏洞源于 Supra 的预言机验证器,而核心网络和共识机制未受影响。攻击者在无效的预言机更新被接受后,利用被操纵的 SAUCE 价格借出了约 905 万美元。Bonzo Lend 目前仍处于暂停状态,恢复工作正在进行中,而 Bonzo 的其他服务则继续正常运行。
2026 年 7 月 11 日,Hedera 主网上发生了一次预言机验证漏洞,导致 Bonzo Lend 暂停运营。根据 Hedera 和 Bonzo Finance Labs 的说法,该事件影响了一个独立运营的 DeFi 应用,而 Hedera 的共识机制和核心网络保持正常运行。调查发现,第三方预言机验证器是此次故障的根源。
据 Hedera 称,Bonzo Lend 的智能合约在整个事件期间均按设计正常运行。相反,调查人员将问题追溯到 Supra 的预言机验证过程——该验证器在 Bonzo Lend 读取数据之前接受了一次无效的价格更新。根据 Bonzo Finance Labs 的说法,钱包 A 于大约 00:51 UTC 提交了一个被操纵的 SAUCE 价格。该虚高数值比该代币的市场价格高出约 12 个数量级。八秒后,同一钱包使用 250 个 SAUCE 作为抵押品,从而从 Bonzo Lend 借入了远超抵押品实际价值的资产。
报告指出,验证器未拒绝该提交,反而接受了一个零签名提交。结果,在被 Bonzo Lend 处理之前,被操纵的价格就已到达链上存储。
与此同时,Hedera 表示 Supra 已承认此次预言机验证漏洞,并在 Hedera 主网上部署了针对受影响验证器合约的修复程序。该网络补充称,安全专家正与相关团队一起持续审查此次攻击。Hedera 还重申,Bonzo Lend 的合约完全按预期运行。据该网络称,故障发生在预言机层的上游,而非借贷协议内部。Bonzo Finance Labs 进一步确认,Chainlink 和 Supra 均提供 Hedera 上的预言机服务,但包括 SAUCE 在内的大多数生态系统资产价格依赖 Supra 的基础设施。
据 Bonzo Finance Labs 称,钱包 A 提取了约 905 万美元的借款本金。该报告排除了钱包 B 借出的另外约 100 万美元,因为该钱包自称为白帽响应者。钱包 B 通过 Discord 联系了团队,并表示打算归还所借资产。同时,Bonzo Finance Labs 确认恢复讨论仍在进行中。Bonzo Lend 和 Bonzo Points 仍处于暂停状态,团队正在评估重新开放的条件。然而,Bonzo Vaults、Bonzo Bridge 以及单边 BONZO 和 XBONZO 质押继续正常运行,未受影响。