900万美元蒸发!Bonzo Lend受Hedera神谕漏洞攻击暴露DeFi安全隐忧
看到Bonzo Lend这条消息,第一反应是:“果然,又来了。”一个看似不起眼的预言机漏洞,直接导致900万美元从借贷池里被抽走。攻击者的手法其实并不复杂——通过操控SAUCE代币的价格喂送,硬是把几美元价值的抵押品,虚高到了可以借出数百万美元的程度。
攻击者是怎么操作的?他利用了Supra链上预言机验证器的一个漏洞,成功虚高了SAUCE抵押品的价值,随后向Bonzo Lend借出了大约900万美元。从市场数据来看,这种操作路径在DeFi领域已经不算新鲜,但每次都能得手,说明问题远没有解决。
根据Bonzo在周六发布的初步事件报告,攻击者存入了250 SAUCE,算下来其实也就几美元。但他随后提交了一次价格更新,使这个代币的价值被抬高了大约12个数量级。换句话说,原本一文不值的东西,瞬间变成了天文数字。然后,这个账户从贷款池里借出了663万美元和3450万美元的HBAR。
这里有一个更值得警惕的细节:整个过程里,应用本身和底层网络(Hedera)都没有出现技术故障,完全按设计运行。问题出在哪里?出在对外部数据源的过度信任。一个带有零签名的操纵价格,就被预言机验证器接受了——这已经不是小漏洞,而是系统性缺陷。
Bonzo将事件归因于Supra链上预言机验证器的缺陷,强调并非Bonzo Lend合约或Hedera核心网络的漏洞。Supra方面也承认了问题,并部署了修复方案。但话说回来,一个零签名的价格更新就能被接受,这种信任机制本身就需要重新审视。

上图是这次事件的经济影响估算,来源Bonzo Finance。从数据来看,损失金额和影响范围都很清晰。
DeFi黑客攻击持续给该行业带来压力
Bonzo事件不是孤例,它是2026年DeFi安全危机的一个缩影。第二季度已经成了有记录以来事件最多的季度——83次漏洞利用,约7.55亿美元被盗。其中跨链桥攻击造成了3.51亿美元的损失,而被攻破的管理员攻击和伪造代币价格操纵,合计占了季度亏损的37%。
有意思的是,这段时间DeFi的锁定总价值(TVL)也在持续下滑。从1月份约1150亿美元,到6月已经跌至700多亿美元,降幅达39%。CryptoRank统计了121起黑客事件,总损失约9.42亿美元。反复出现的漏洞事件,显然在持续侵蚀用户信心,加速了资本外流。
紧接着Bonzo事件,还有Stellar上类似的抵押品定价漏洞。今年二月,攻击者通过操纵USTRY抵押品的价格路径,从YieldBlox管理的借贷池中抽走了约1000万美元。两次事件的核心逻辑几乎一模一样,只能说,行业对预言机安全的重视程度,依然远远不够。