Le protocole de prêt Hedera Bonzo Lend a été victime d’une attaque de 9 millions de dollars après qu’un vérificateur Supra ait accepté une mise à jour de prix manipulée.

The Block11 Jul 2026
Bonzo Lend, un protocole décentralisé de prêt sur Hedera ($HBAR), a été victime d’une attaque d’un montant d’environ 9,05 millions de dollars américains vendredi soir, heure de l’Est (ET), après qu’un attaquant ait exploité une vulnérabilité dans un vérificateur d’oracle tiers fourni par $Supra et soumis un prix artificiel pour le jeton SAUCE, selon un rapport préliminaire sur l’incident publié par Bonzo.

Le protocole a immédiatement suspendu Bonzo Lend juste après l’attaque. Son programme de points a également été interrompu, tandis que les coffres-forts (vaults), le pont (bridge) et les produits de staking de Bonzo n’ont pas été affectés. Hedera a indiqué sur X que l’incident était circonscrit au vérificateur d’oracle tiers et ne résultait d’aucune faille dans l’infrastructure centrale du réseau.

L’attaquant a déposé 250 jetons SAUCE — d’une valeur de quelques dollars — en garantie vers 20 h 40, heure de l’Est, vendredi. Il a ensuite soumis une mise à jour de prix au contrat d’oracle à la demande de $Supra, surestimant la valeur du jeton d’environ douze ordres de grandeur, selon le rapport. À ce moment-là, SAUCE était coté aux alentours de 0,2 $HBAR ; la mise à jour manipulée affichait un chiffre égal à 1 suivi de 30 zéros.

Moins d’une seconde après que ce prix falsifié ait été enregistré sur la chaîne à 20 h 51, heure de l’Est, le portefeuille a emprunté environ 6,63 millions de $USDC et 34,5 millions de $HBAR « enveloppés » (wrapped $HBAR) contre ce dépôt quasi sans valeur. Bonzo a évalué le montant principal extrait à environ 9,05 millions de dollars américains, en utilisant un prix de référence du $HBAR d’environ 0,07 dollar américain.

La mise à jour de prix factice comportait une signature cryptographique composée exclusivement de zéros. Le vérificateur de $Supra aurait dû la rejeter immédiatement, mais il l’a au contraire considérée comme valide en raison d’un défaut dans la manière dont le contrat vérifiait les signatures.

Cela a permis à l’attaquant de soumettre un prix sans l’approbation des signataires légitimes de Supra. Autrement dit, l’attaquant n’a ni craqué la cryptographie de $Supra ni volé une clé de signature ; il a simplement trouvé un moyen de faire accepter au vérificateur une mise à jour manifestement invalide.

Bonzo a indiqué que $Supra avait reconnu le problème et déployé un correctif sur le contrat de vérificateur concerné sur le réseau principal (mainnet) de Hedera. « C’est grâce à ce correctif, et à la capacité qui en découle d’inspecter le comportement du contrat, que nous sommes en mesure de décrire le mécanisme », ont écrit les membres de l’équipe Bonzo.

Un second portefeuille a emprunté environ 1 million de dollars américains pendant que le prix erroné restait actif, puis a contacté l’équipe, s’est identifié comme un « white-hat » (acteur éthique) et a déclaré son intention de restituer les fonds. Bonzo a exclu ce montant de son chiffre phare, qui aurait autrement atteint environ 10,06 millions de dollars américains.

L’investigateur blockchain Specter a été le premier à signaler des mouvements de fonds suspects depuis Hedera vers Ethereum, avant même que Bonzo ne confirme la source de l’exploit. Une mise à jour légitime de l’oracle a rétabli le prix de SAUCE à 21 h 36, heure de l’Est, vendredi, et Bonzo a suspendu son pool de prêt cinq minutes plus tard.

Cet incident s’inscrit dans une année particulièrement difficile pour les exploits dans le domaine de la crypto, avec des pertes cumulées d’environ 972 millions de dollars américains sur un nombre record de 207 incidents au cours du premier semestre 2026, selon Immunefi. Il illustre aussi une tendance plus large vers des défaillances d’infrastructure, des compromissions de clés privées et des faiblesses liées aux accès privilégiés situées en dehors des contrats principaux de l’application concernée — une dynamique déjà observée lors de la compromission présumée des clés du pont Gravity Bridge et de l’exploit de vérification du pont de Kelp DAO.

Avertissement : The Block est un média indépendant qui fournit des informations, des analyses et des données. En novembre 2023, Foresight Ventures détenait la majorité du capital de The Block. Foresight Ventures investit également dans d’autres entreprises du secteur de la crypto. L’exchange crypto Bitget est un partenaire financier majeur (anchor LP) de Foresight Ventures. The Block continue toutefois d’opérer de façon indépendante afin de fournir des informations objectives, pertinentes et opportunes sur l’industrie de la crypto. Voici nos déclarations financières actuelles.

© 2026 The Block. Tous droits réservés. Cet article est fourni à titre purement informatif. Il n’est ni offert ni destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.

Tout ce que vous devez savoir en 10 secondes
Your One-Stop Crypto Investment Powerhouse

Le protocole de prêt Hedera Bonzo Lend a été victime d’une attaque de 9 millions de dollars après qu’un vérificateur Supra ait accepté une mise à jour de prix manipulée.

The Block11 Jul 2026
Bonzo Lend, un protocole décentralisé de prêt sur Hedera (HBAR), a été victime d’une attaque d’un montant d’environ 9,05 millions de dollars américains vendredi soir, heure de l’Est (ET), après qu’un attaquant ait exploité une vulnérabilité dans un vérificateur d’oracle tiers fourni par Supra et soumis un prix artificiel pour le jeton SAUCE, selon un rapport préliminaire sur l’incident publié par Bonzo.

Le protocole a immédiatement suspendu Bonzo Lend juste après l’attaque. Son programme de points a également été interrompu, tandis que les coffres-forts (vaults), le pont (bridge) et les produits de staking de Bonzo n’ont pas été affectés. Hedera a indiqué sur X que l’incident était circonscrit au vérificateur d’oracle tiers et ne résultait d’aucune faille dans l’infrastructure centrale du réseau.

L’attaquant a déposé 250 jetons SAUCE — d’une valeur de quelques dollars — en garantie vers 20 h 40, heure de l’Est, vendredi. Il a ensuite soumis une mise à jour de prix au contrat d’oracle à la demande de Supra, surestimant la valeur du jeton d’environ douze ordres de grandeur, selon le rapport. À ce moment-là, SAUCE était coté aux alentours de 0,2 HBAR ; la mise à jour manipulée affichait un chiffre égal à 1 suivi de 30 zéros.

Moins d’une seconde après que ce prix falsifié ait été enregistré sur la chaîne à 20 h 51, heure de l’Est, le portefeuille a emprunté environ 6,63 millions de USDC et 34,5 millions de HBAR « enveloppés » (wrapped HBAR) contre ce dépôt quasi sans valeur. Bonzo a évalué le montant principal extrait à environ 9,05 millions de dollars américains, en utilisant un prix de référence du HBAR d’environ 0,07 dollar américain.

La mise à jour de prix factice comportait une signature cryptographique composée exclusivement de zéros. Le vérificateur de Supra aurait dû la rejeter immédiatement, mais il l’a au contraire considérée comme valide en raison d’un défaut dans la manière dont le contrat vérifiait les signatures.

Cela a permis à l’attaquant de soumettre un prix sans l’approbation des signataires légitimes de Supra. Autrement dit, l’attaquant n’a ni craqué la cryptographie de Supra ni volé une clé de signature ; il a simplement trouvé un moyen de faire accepter au vérificateur une mise à jour manifestement invalide.

Bonzo a indiqué que Supra avait reconnu le problème et déployé un correctif sur le contrat de vérificateur concerné sur le réseau principal (mainnet) de Hedera. « C’est grâce à ce correctif, et à la capacité qui en découle d’inspecter le comportement du contrat, que nous sommes en mesure de décrire le mécanisme », ont écrit les membres de l’équipe Bonzo.

Un second portefeuille a emprunté environ 1 million de dollars américains pendant que le prix erroné restait actif, puis a contacté l’équipe, s’est identifié comme un « white-hat » (acteur éthique) et a déclaré son intention de restituer les fonds. Bonzo a exclu ce montant de son chiffre phare, qui aurait autrement atteint environ 10,06 millions de dollars américains.

L’investigateur blockchain Specter a été le premier à signaler des mouvements de fonds suspects depuis Hedera vers Ethereum, avant même que Bonzo ne confirme la source de l’exploit. Une mise à jour légitime de l’oracle a rétabli le prix de SAUCE à 21 h 36, heure de l’Est, vendredi, et Bonzo a suspendu son pool de prêt cinq minutes plus tard.

Cet incident s’inscrit dans une année particulièrement difficile pour les exploits dans le domaine de la crypto, avec des pertes cumulées d’environ 972 millions de dollars américains sur un nombre record de 207 incidents au cours du premier semestre 2026, selon Immunefi. Il illustre aussi une tendance plus large vers des défaillances d’infrastructure, des compromissions de clés privées et des faiblesses liées aux accès privilégiés situées en dehors des contrats principaux de l’application concernée — une dynamique déjà observée lors de la compromission présumée des clés du pont Gravity Bridge et de l’exploit de vérification du pont de Kelp DAO.

Avertissement : The Block est un média indépendant qui fournit des informations, des analyses et des données. En novembre 2023, Foresight Ventures détenait la majorité du capital de The Block. Foresight Ventures investit également dans d’autres entreprises du secteur de la crypto. L’exchange crypto Bitget est un partenaire financier majeur (anchor LP) de Foresight Ventures. The Block continue toutefois d’opérer de façon indépendante afin de fournir des informations objectives, pertinentes et opportunes sur l’industrie de la crypto. Voici nos déclarations financières actuelles.

© 2026 The Block. Tous droits réservés. Cet article est fourni à titre purement informatif. Il n’est ni offert ni destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.

Scannez le QR Code pour explorer plus d’informations clés
Plateforme de recherche financière complète pour investisseurs crypto