首页 > 教程攻略 > web3.0 >900万美元蒸发!Bonzo Lend受Hedera神谕漏洞攻击暴露DeFi安全隐忧

900万美元蒸发!Bonzo Lend受Hedera神谕漏洞攻击暴露DeFi安全隐忧

来源:互联网 时间:2026-07-11 22:10:04

看到Bonzo Lend这条消息,第一反应是:“果然,又来了。”一个看似不起眼的预言机漏洞,直接导致900万美元从借贷池里被抽走。攻击者的手法其实并不复杂——通过操控SAUCE代币的价格喂送,硬是把几美元价值的抵押品,虚高到了可以借出数百万美元的程度。

攻击者是怎么操作的?他利用了Supra链上预言机验证器的一个漏洞,成功虚高了SAUCE抵押品的价值,随后向Bonzo Lend借出了大约900万美元。从市场数据来看,这种操作路径在DeFi领域已经不算新鲜,但每次都能得手,说明问题远没有解决。

根据Bonzo在周六发布的初步事件报告,攻击者存入了250 SAUCE,算下来其实也就几美元。但他随后提交了一次价格更新,使这个代币的价值被抬高了大约12个数量级。换句话说,原本一文不值的东西,瞬间变成了天文数字。然后,这个账户从贷款池里借出了663万美元和3450万美元的HBAR。

这里有一个更值得警惕的细节:整个过程里,应用本身和底层网络(Hedera)都没有出现技术故障,完全按设计运行。问题出在哪里?出在对外部数据源的过度信任。一个带有零签名的操纵价格,就被预言机验证器接受了——这已经不是小漏洞,而是系统性缺陷。

Bonzo将事件归因于Supra链上预言机验证器的缺陷,强调并非Bonzo Lend合约或Hedera核心网络的漏洞。Supra方面也承认了问题,并部署了修复方案。但话说回来,一个零签名的价格更新就能被接受,这种信任机制本身就需要重新审视。

神谕漏洞致Bonzo Lend损失900万

上图是这次事件的经济影响估算,来源Bonzo Finance。从数据来看,损失金额和影响范围都很清晰。

DeFi黑客攻击持续给该行业带来压力

Bonzo事件不是孤例,它是2026年DeFi安全危机的一个缩影。第二季度已经成了有记录以来事件最多的季度——83次漏洞利用,约7.55亿美元被盗。其中跨链桥攻击造成了3.51亿美元的损失,而被攻破的管理员攻击和伪造代币价格操纵,合计占了季度亏损的37%。

有意思的是,这段时间DeFi的锁定总价值(TVL)也在持续下滑。从1月份约1150亿美元,到6月已经跌至700多亿美元,降幅达39%。CryptoRank统计了121起黑客事件,总损失约9.42亿美元。反复出现的漏洞事件,显然在持续侵蚀用户信心,加速了资本外流。

紧接着Bonzo事件,还有Stellar上类似的抵押品定价漏洞。今年二月,攻击者通过操纵USTRY抵押品的价格路径,从YieldBlox管理的借贷池中抽走了约1000万美元。两次事件的核心逻辑几乎一模一样,只能说,行业对预言机安全的重视程度,依然远远不够。

相关阅读