ハッカーがアルトコインの価格を操作している

BitcoinSistemi2026-07-11
ヘデラ・エコシステムで最大規模のレンディング・プロトコルであるBonzo Lendは、サードパーティ製のプライス・オラクル(価格情報提供サービス)に存在した脆弱性を悪用された結果、約905万米ドルの損失を被ったと発表しました。攻撃発生後、Bonzo LendおよびBonzo Pointsのサービスは一時的に停止されました。

Bonzo Finance LabsがBonzo Finance Foundationと連携して公表したインシデント報告書によると、今回の攻撃は2026年7月11日、協定世界時(UTC)で約00:51(UTC+3では03:51)に発生しました。攻撃者は、Bonzo Lendが利用している$Supraオラクル・システムに対して改ざんされたSAUCE価格を送信することで、わずかな担保額で実際のSAUCE価値をはるかに上回る金額を借り入れることに成功しました。

Bonzoは、このセキュリティ脆弱性が自社のスマートコントラクトやレンディング・プロトコルの設計由来ではないと主張しています。同社は、問題の根本原因がBonzo Lendが採用しているサードパーティ製オンチェーン・プライス・オラクルの署名検証メカニズムにあると述べています。

報告書によれば、攻撃者が最初に使用したアカウントは、ヘデラ・メインネット上で、オラクルのオンデマンド価格更新コントラクトへ、$HBAR単位で改ざんされたSAUCE価格を送信しました。実際のSAUCE市場価格は約0.2 $HBARであるのに対し、攻撃者が送信した価格は実際の価格より小数点以下12桁分も高い値として表示されました。

改ざんされた価格がブロックチェーン上に記録されてからわずか8秒後、攻撃者は少量のSAUCE投資を担保として利用しました。オラクルからのデータにより、この担保の価値が異常に高く算出され、その結果、攻撃者は預託した担保の実際の価値をはるかに上回る資産を借り入れることになりました。

Bonzoの調査によると、この改ざん価格の更新が受け入れられたのは、$Supraのオンチェーン・バリデーターが有効な署名を伴わない状態で証明を確認したためです。チームは、攻撃者が有効なオラクル署名を偽造したわけではなく、またSAUCEの実際の市場価格には何ら変化がなかったとも付言しています。

プロトコルは、不正な価格情報はオラクルの検証レイヤーにおいてBonzo Lendに到達する前に拒否されるべきであったと説明しており、検証システムがその機能を果たせなかったと指摘しています。

また、異常な価格データが有効な状態の間に、第2のアカウントもプロトコルから追加の資産を借り入れていたことが明らかになりました。Bonzoは、このアカウントが後にチームに連絡し、自身をホワイトハットのセキュリティ研究者であると名乗り、資金返還の意向を示したと述べています。この取引については、復旧プロセスの一環としてプロトコル側で現在検討中です。

今回の攻撃の影響を受けたのはBonzo LendおよびBonzo Pointsのサービスのみであり、Bonzo Vaults、Bonzo Bridge、ならびにBONZOおよびXBONZOの片方向ステーキングおよびアンステーキング・サービスは引き続き正常に稼働していました。BONZO価格の下落を示すグラフも掲載されています。

Bonzo Lendのレンディング・プールは、レビューおよび復旧作業が継続中のため、現時点で一時停止されています。Bonzo Finance LabsおよびBonzo Finance Foundationは、プロトコルの再開条件および流動性提供者が保有資産を引き出すための手順について評価を進めていると発表しました。チームは、ユーザーへの補償内容、資金回収の進捗、およびプロトコルの再開に関する詳細については、後日別途アナウンスにてお知らせするとしています。

※これは投資助言ではありません。

ソース
AIによる要約と翻訳
10秒で知るべきこと
Your One-Stop Crypto Investment Powerhouse

ハッカーがアルトコインの価格を操作している

BitcoinSistemi2026-07-11
ヘデラ・エコシステムで最大規模のレンディング・プロトコルであるBonzo Lendは、サードパーティ製のプライス・オラクル(価格情報提供サービス)に存在した脆弱性を悪用された結果、約905万米ドルの損失を被ったと発表しました。攻撃発生後、Bonzo LendおよびBonzo Pointsのサービスは一時的に停止されました。

Bonzo Finance LabsがBonzo Finance Foundationと連携して公表したインシデント報告書によると、今回の攻撃は2026年7月11日、協定世界時(UTC)で約00:51(UTC+3では03:51)に発生しました。攻撃者は、Bonzo Lendが利用しているSupraオラクル・システムに対して改ざんされたSAUCE価格を送信することで、わずかな担保額で実際のSAUCE価値をはるかに上回る金額を借り入れることに成功しました。

Bonzoは、このセキュリティ脆弱性が自社のスマートコントラクトやレンディング・プロトコルの設計由来ではないと主張しています。同社は、問題の根本原因がBonzo Lendが採用しているサードパーティ製オンチェーン・プライス・オラクルの署名検証メカニズムにあると述べています。

報告書によれば、攻撃者が最初に使用したアカウントは、ヘデラ・メインネット上で、オラクルのオンデマンド価格更新コントラクトへ、HBAR単位で改ざんされたSAUCE価格を送信しました。実際のSAUCE市場価格は約0.2 HBARであるのに対し、攻撃者が送信した価格は実際の価格より小数点以下12桁分も高い値として表示されました。

改ざんされた価格がブロックチェーン上に記録されてからわずか8秒後、攻撃者は少量のSAUCE投資を担保として利用しました。オラクルからのデータにより、この担保の価値が異常に高く算出され、その結果、攻撃者は預託した担保の実際の価値をはるかに上回る資産を借り入れることになりました。

Bonzoの調査によると、この改ざん価格の更新が受け入れられたのは、Supraのオンチェーン・バリデーターが有効な署名を伴わない状態で証明を確認したためです。チームは、攻撃者が有効なオラクル署名を偽造したわけではなく、またSAUCEの実際の市場価格には何ら変化がなかったとも付言しています。

プロトコルは、不正な価格情報はオラクルの検証レイヤーにおいてBonzo Lendに到達する前に拒否されるべきであったと説明しており、検証システムがその機能を果たせなかったと指摘しています。

また、異常な価格データが有効な状態の間に、第2のアカウントもプロトコルから追加の資産を借り入れていたことが明らかになりました。Bonzoは、このアカウントが後にチームに連絡し、自身をホワイトハットのセキュリティ研究者であると名乗り、資金返還の意向を示したと述べています。この取引については、復旧プロセスの一環としてプロトコル側で現在検討中です。

今回の攻撃の影響を受けたのはBonzo LendおよびBonzo Pointsのサービスのみであり、Bonzo Vaults、Bonzo Bridge、ならびにBONZOおよびXBONZOの片方向ステーキングおよびアンステーキング・サービスは引き続き正常に稼働していました。BONZO価格の下落を示すグラフも掲載されています。

Bonzo Lendのレンディング・プールは、レビューおよび復旧作業が継続中のため、現時点で一時停止されています。Bonzo Finance LabsおよびBonzo Finance Foundationは、プロトコルの再開条件および流動性提供者が保有資産を引き出すための手順について評価を進めていると発表しました。チームは、ユーザーへの補償内容、資金回収の進捗、およびプロトコルの再開に関する詳細については、後日別途アナウンスにてお知らせするとしています。

※これは投資助言ではありません。

AIによる要約と翻訳
QRコードをスキャンして、より多くの重要な情報を探索してください
Crypto投資家のためのワンストップ金融リサーチプラットフォーム