El protocolo de préstamos de Hedera Bonzo Lend sufrió una pérdida de 9 millones de dólares tras la aceptación, por parte del verificador Supra, de una actualización manipulada del precio.

The Block2026-07-11
Bonzo Lend, un protocolo de préstamos descentralizado en Hedera ($HBAR), fue afectado por aproximadamente 9.05 millones de dólares el viernes por la noche, hora del Este, después de que un atacante explotara una vulnerabilidad en un verificador de oráculo $Supra de terceros y presentara un precio artificial para el token SAUCE, según un informe preliminar del incidente publicado por Bonzo.

El protocolo pausó Bonzo Lend poco después del ataque. Su programa de puntos también se detuvo, mientras que las bóvedas, el puente y los productos de staking de Bonzo no se vieron afectados. Hedera dijo en X que el incidente se limitó a un verificador de oráculo de terceros y no involucró un fallo en la infraestructura central de la red.

El atacante depositó 250 SAUCE, con un valor de unos pocos dólares, como garantía alrededor de las 8:40 p.m. ET del viernes, y luego presentó una actualización de precio al contrato de oráculo bajo demanda de $Supra que exageró el valor del token en aproximadamente 12 órdenes de magnitud, según el informe. SAUCE cotizaba cerca de 0.2 $HBAR en ese momento; la actualización manipulada llevaba una cifra de 1 seguido de 30 ceros.

A los pocos segundos de que el precio manipulado llegara a la cadena a las 8:51 p.m. ET, la billetera pidió prestados aproximadamente 6.63 millones de $USDC y 34.5 millones de $HBAR envueltos contra el depósito casi sin valor. Bonzo valoró el principal extraído en aproximadamente 9.05 millones de dólares utilizando un precio de referencia de $HBAR de alrededor de 0.07 dólares.

La actualización de precio falsa llevaba una firma criptográfica compuesta enteramente por ceros. El verificador de $Supra debería haberla rechazado de inmediato, pero en cambio la trató como válida debido a un fallo en la forma en que el contrato verificaba las firmas.

Eso permitió al atacante presentar un precio sin la aprobación de los firmantes legítimos de Supra. En pocas palabras, el atacante no descifró la criptografía de $Supra ni robó una clave de firma; más bien, encontraron una manera de hacer que el verificador aceptara una actualización obviamente inválida.

Bonzo dijo que $Supra reconoció el problema y desplegó una solución al contrato verificador afectado en la red principal de Hedera. "Es debido a esa solución, y la capacidad resultante de inspeccionar el comportamiento del contrato, que podemos describir el mecanismo", escribió el equipo de Bonzo.

Una segunda billetera pidió prestado alrededor de 1 millón de dólares mientras el precio incorrecto estaba activo, luego contactó al equipo, se identificó como un respondedor de sombrero blanco y dijo que tenía la intención de devolver los fondos. Bonzo excluyó esa cantidad de su cifra principal, que de lo contrario totalizaría aproximadamente 10.06 millones de dólares.

El investigador en cadena Specter fue el primero en señalar movimientos sospechosos de fondos de Hedera a Ethereum antes de que Bonzo confirmara la fuente del exploit. Una actualización legítima del oráculo restauró el precio de SAUCE a las 9:36 p.m. ET del viernes, y Bonzo pausó su pool de préstamos cinco minutos después.

El incidente extiende un año difícil para los exploits de cripto, con proyectos perdiendo aproximadamente 972 millones de dólares en 207 incidentes récord en la primera mitad de 2026, según Immunefi. También encaja en un cambio más amplio hacia fallos de infraestructura, compromisos de claves privadas y debilidades de acceso privilegiado fuera de los contratos centrales de una aplicación afectada, una dinámica vista en el presunto compromiso de clave del puente Gravity y el exploit de verificación de puente de Kelp DAO.

Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigación y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del sector cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de manera independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.

© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.

10s para entender el mercado crypto
Your One-Stop Crypto Investment Powerhouse

El protocolo de préstamos de Hedera Bonzo Lend sufrió una pérdida de 9 millones de dólares tras la aceptación, por parte del verificador Supra, de una actualización manipulada del precio.

The Block2026-07-11
Bonzo Lend, un protocolo de préstamos descentralizado en Hedera (HBAR), fue afectado por aproximadamente 9.05 millones de dólares el viernes por la noche, hora del Este, después de que un atacante explotara una vulnerabilidad en un verificador de oráculo Supra de terceros y presentara un precio artificial para el token SAUCE, según un informe preliminar del incidente publicado por Bonzo.

El protocolo pausó Bonzo Lend poco después del ataque. Su programa de puntos también se detuvo, mientras que las bóvedas, el puente y los productos de staking de Bonzo no se vieron afectados. Hedera dijo en X que el incidente se limitó a un verificador de oráculo de terceros y no involucró un fallo en la infraestructura central de la red.

El atacante depositó 250 SAUCE, con un valor de unos pocos dólares, como garantía alrededor de las 8:40 p.m. ET del viernes, y luego presentó una actualización de precio al contrato de oráculo bajo demanda de Supra que exageró el valor del token en aproximadamente 12 órdenes de magnitud, según el informe. SAUCE cotizaba cerca de 0.2 HBAR en ese momento; la actualización manipulada llevaba una cifra de 1 seguido de 30 ceros.

A los pocos segundos de que el precio manipulado llegara a la cadena a las 8:51 p.m. ET, la billetera pidió prestados aproximadamente 6.63 millones de USDC y 34.5 millones de HBAR envueltos contra el depósito casi sin valor. Bonzo valoró el principal extraído en aproximadamente 9.05 millones de dólares utilizando un precio de referencia de HBAR de alrededor de 0.07 dólares.

La actualización de precio falsa llevaba una firma criptográfica compuesta enteramente por ceros. El verificador de Supra debería haberla rechazado de inmediato, pero en cambio la trató como válida debido a un fallo en la forma en que el contrato verificaba las firmas.

Eso permitió al atacante presentar un precio sin la aprobación de los firmantes legítimos de Supra. En pocas palabras, el atacante no descifró la criptografía de Supra ni robó una clave de firma; más bien, encontraron una manera de hacer que el verificador aceptara una actualización obviamente inválida.

Bonzo dijo que Supra reconoció el problema y desplegó una solución al contrato verificador afectado en la red principal de Hedera. "Es debido a esa solución, y la capacidad resultante de inspeccionar el comportamiento del contrato, que podemos describir el mecanismo", escribió el equipo de Bonzo.

Una segunda billetera pidió prestado alrededor de 1 millón de dólares mientras el precio incorrecto estaba activo, luego contactó al equipo, se identificó como un respondedor de sombrero blanco y dijo que tenía la intención de devolver los fondos. Bonzo excluyó esa cantidad de su cifra principal, que de lo contrario totalizaría aproximadamente 10.06 millones de dólares.

El investigador en cadena Specter fue el primero en señalar movimientos sospechosos de fondos de Hedera a Ethereum antes de que Bonzo confirmara la fuente del exploit. Una actualización legítima del oráculo restauró el precio de SAUCE a las 9:36 p.m. ET del viernes, y Bonzo pausó su pool de préstamos cinco minutos después.

El incidente extiende un año difícil para los exploits de cripto, con proyectos perdiendo aproximadamente 972 millones de dólares en 207 incidentes récord en la primera mitad de 2026, según Immunefi. También encaja en un cambio más amplio hacia fallos de infraestructura, compromisos de claves privadas y debilidades de acceso privilegiado fuera de los contratos centrales de una aplicación afectada, una dinámica vista en el presunto compromiso de clave del puente Gravity y el exploit de verificación de puente de Kelp DAO.

Descargo de responsabilidad: The Block es un medio de comunicación independiente que ofrece noticias, investigación y datos. A partir de noviembre de 2023, Foresight Ventures es un inversor mayoritario de The Block. Foresight Ventures invierte en otras empresas del sector cripto. El exchange de criptomonedas Bitget es un LP ancla para Foresight Ventures. The Block continúa operando de manera independiente para ofrecer información objetiva, impactante y oportuna sobre la industria cripto. Aquí están nuestras divulgaciones financieras actuales.

© 2026 The Block. Todos los derechos reservados. Este artículo se proporciona únicamente con fines informativos. No se ofrece ni pretende ser utilizado como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.

Escanea el código QR para explorar más información clave
Plataforma integral de investigación financiera para inversores en criptomonedas