O protocolo de empréstimo Hedera Bonzo Lend foi atingido por 9 milhões de dólares após o verificador Supra aceitar uma atualização manipulada de preço

The Block2026-07-11
Bonzo Lend, um protocolo de empréstimo descentralizado na Hedera ($HBAR), foi atingido por aproximadamente US$ 9,05 milhões na noite de sexta-feira ET após um atacante explorar uma vulnerabilidade em um verificador de oráculo terceirizado da $Supra e submeter um preço artificial para o token SAUCE, de acordo com um relatório preliminar de incidente publicado pela Bonzo.

O protocolo pausou o Bonzo Lend logo após o ataque. Seu programa de pontos também foi interrompido, enquanto os cofres, a ponte e os produtos de staking da Bonzo não foram afetados. A Hedera disse no X que o incidente foi restrito a um verificador de oráculo terceirizado e não envolveu uma falha na infraestrutura principal da rede.

O atacante depositou 250 SAUCE, avaliados em alguns dólares, como garantia por volta das 20:40 ET de sexta-feira, e então submeteu uma atualização de preço para o contrato de oráculo sob demanda da $Supra que superestimou o valor do token em cerca de 12 ordens de magnitude, de acordo com o relatório. SAUCE estava sendo negociado perto de 0,2 $HBAR na época; a atualização manipulada apresentava um valor de 1 seguido por 30 zeros.

Segundos após o preço manipulado chegar à blockchain às 20:51 ET, a carteira tomou emprestado aproximadamente 6,63 milhões de $USDC e 34,5 milhões de $HBAR embrulhados contra o depósito quase sem valor. A Bonzo avaliou o principal extraído em aproximadamente US$ 9,05 milhões usando um preço de referência de $HBAR de cerca de US$ 0,07.

A atualização de preço falsa continha uma assinatura criptográfica composta inteiramente por zeros. O verificador da $Supra deveria tê-la rejeitado imediatamente, mas em vez disso a tratou como válida devido a uma falha na forma como o contrato verificava as assinaturas.

Isso permitiu que o atacante submetesse um preço sem a aprovação dos signatários legítimos da Supra. Simplificando, o atacante não quebrou a criptografia da $Supra nem roubou uma chave de assinatura; em vez disso, eles encontraram uma maneira de fazer o verificador aceitar uma atualização obviamente inválida.

A Bonzo disse que a $Supra reconheceu o problema e implementou uma correção no contrato de verificador afetado na mainnet da Hedera. "É por causa dessa correção, e da capacidade resultante de inspecionar o comportamento do contrato, que somos capazes de descrever o mecanismo", escreveram a equipe da Bonzo.

Uma segunda carteira tomou emprestado cerca de US$ 1 milhão enquanto o preço incorreto estava ativo, e então contatou a equipe, identificou-se como um respondente white-hat e disse que pretendia devolver os fundos. A Bonzo excluiu esse valor de seu valor principal, que de outra forma totalizaria aproximadamente US$ 10,06 milhões.

O investigador onchain Specter foi o primeiro a sinalizar movimentos suspeitos de fundos da Hedera para a Ethereum antes que a Bonzo confirmasse a origem da exploração. Uma atualização legítima do oráculo restaurou o preço do SAUCE às 21:36 ET de sexta-feira, e a Bonzo pausou sua pool de empréstimos cinco minutos depois.

O incidente estende um ano pesado para explorações de cripto, com projetos perdendo aproximadamente US$ 972 milhões em um recorde de 207 incidentes na primeira metade de 2026, de acordo com a Immunefi. Ele também se encaixa em uma mudança mais ampla em direção a falhas de infraestrutura, comprometimento de chaves privadas e fraquezas de acesso privilegiado fora dos contratos principais de uma aplicação afetada, uma dinâmica vista no suspeito comprometimento da chave da Gravity Bridge e na exploração de verificação de ponte da Kelp DAO.

Aviso Legal: The Block é um veículo de mídia independente que fornece notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é a investidora majoritária da The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é uma LP âncora para a Foresight Ventures. A The Block continua a operar independentemente para fornecer informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.

© 2026 The Block. Todos os Direitos Reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido nem destinado a ser usado como aconselhamento legal, tributário, de investimento, financeiro ou de outra natureza.

Tudo o que você precisa saber em 10s
Your One-Stop Crypto Investment Powerhouse

O protocolo de empréstimo Hedera Bonzo Lend foi atingido por 9 milhões de dólares após o verificador Supra aceitar uma atualização manipulada de preço

The Block2026-07-11
Bonzo Lend, um protocolo de empréstimo descentralizado na Hedera (HBAR), foi atingido por aproximadamente US$ 9,05 milhões na noite de sexta-feira ET após um atacante explorar uma vulnerabilidade em um verificador de oráculo terceirizado da Supra e submeter um preço artificial para o token SAUCE, de acordo com um relatório preliminar de incidente publicado pela Bonzo.

O protocolo pausou o Bonzo Lend logo após o ataque. Seu programa de pontos também foi interrompido, enquanto os cofres, a ponte e os produtos de staking da Bonzo não foram afetados. A Hedera disse no X que o incidente foi restrito a um verificador de oráculo terceirizado e não envolveu uma falha na infraestrutura principal da rede.

O atacante depositou 250 SAUCE, avaliados em alguns dólares, como garantia por volta das 20:40 ET de sexta-feira, e então submeteu uma atualização de preço para o contrato de oráculo sob demanda da Supra que superestimou o valor do token em cerca de 12 ordens de magnitude, de acordo com o relatório. SAUCE estava sendo negociado perto de 0,2 HBAR na época; a atualização manipulada apresentava um valor de 1 seguido por 30 zeros.

Segundos após o preço manipulado chegar à blockchain às 20:51 ET, a carteira tomou emprestado aproximadamente 6,63 milhões de USDC e 34,5 milhões de HBAR embrulhados contra o depósito quase sem valor. A Bonzo avaliou o principal extraído em aproximadamente US$ 9,05 milhões usando um preço de referência de HBAR de cerca de US$ 0,07.

A atualização de preço falsa continha uma assinatura criptográfica composta inteiramente por zeros. O verificador da Supra deveria tê-la rejeitado imediatamente, mas em vez disso a tratou como válida devido a uma falha na forma como o contrato verificava as assinaturas.

Isso permitiu que o atacante submetesse um preço sem a aprovação dos signatários legítimos da Supra. Simplificando, o atacante não quebrou a criptografia da Supra nem roubou uma chave de assinatura; em vez disso, eles encontraram uma maneira de fazer o verificador aceitar uma atualização obviamente inválida.

A Bonzo disse que a Supra reconheceu o problema e implementou uma correção no contrato de verificador afetado na mainnet da Hedera. "É por causa dessa correção, e da capacidade resultante de inspecionar o comportamento do contrato, que somos capazes de descrever o mecanismo", escreveram a equipe da Bonzo.

Uma segunda carteira tomou emprestado cerca de US$ 1 milhão enquanto o preço incorreto estava ativo, e então contatou a equipe, identificou-se como um respondente white-hat e disse que pretendia devolver os fundos. A Bonzo excluiu esse valor de seu valor principal, que de outra forma totalizaria aproximadamente US$ 10,06 milhões.

O investigador onchain Specter foi o primeiro a sinalizar movimentos suspeitos de fundos da Hedera para a Ethereum antes que a Bonzo confirmasse a origem da exploração. Uma atualização legítima do oráculo restaurou o preço do SAUCE às 21:36 ET de sexta-feira, e a Bonzo pausou sua pool de empréstimos cinco minutos depois.

O incidente estende um ano pesado para explorações de cripto, com projetos perdendo aproximadamente US$ 972 milhões em um recorde de 207 incidentes na primeira metade de 2026, de acordo com a Immunefi. Ele também se encaixa em uma mudança mais ampla em direção a falhas de infraestrutura, comprometimento de chaves privadas e fraquezas de acesso privilegiado fora dos contratos principais de uma aplicação afetada, uma dinâmica vista no suspeito comprometimento da chave da Gravity Bridge e na exploração de verificação de ponte da Kelp DAO.

Aviso Legal: The Block é um veículo de mídia independente que fornece notícias, pesquisas e dados. Em novembro de 2023, a Foresight Ventures é a investidora majoritária da The Block. A Foresight Ventures investe em outras empresas no espaço cripto. A exchange de criptomoedas Bitget é uma LP âncora para a Foresight Ventures. A The Block continua a operar independentemente para fornecer informações objetivas, impactantes e oportunas sobre a indústria cripto. Aqui estão nossas divulgações financeiras atuais.

© 2026 The Block. Todos os Direitos Reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido nem destinado a ser usado como aconselhamento legal, tributário, de investimento, financeiro ou de outra natureza.

Escaneie o QR Code para mais infos importantes
Plataforma única de pesquisa financeira para investidores de cripto.