Your One-Stop Crypto Investment Powerhouse
駭客正在操縱某種替代幣的價格
BitcoinSistemi2026-07-11
Bonzo Lend 是 Hedera 生態系中規模最大的借貸協議,近日宣布因第三方價格預言機(price oracle)存在漏洞遭駭客利用,導致約 905 萬美元的損失。攻擊發生後,Bonzo Lend 及 Bonzo Points 服務已暫時停用。根據 Bonzo Finance Labs 與 Bonzo Finance Foundation 協同發布的事故報告,此次攻擊發生於 2026 年 7 月 11 日,約在協調世界時(UTC)00:51(UTC+3 時區為 03:51)。駭客透過向 Bonzo Lend 所採用的 Supra 預言機系統傳送偽造的 SAUCE 價格,以極低額抵押品借出遠高於 SAUCE 實際價值的資產。Bonzo 表示,此項安全漏洞並非源自其自有智慧合約或借貸協議的設計本身;問題根源在於 Bonzo Lend 所使用的第三方鏈上價格預言機之簽章驗證機制。據該報告指出,駭客首個帳戶首先於 Hedera 主網上,向預言機的「按需價格更新合約」(on-demand price update contract)傳送了一筆以 HBAR 為單位的偽造 SAUCE 價格。SAUCE 的實際市場價格約為 0.2 HBAR,但駭客所傳送的數值卻顯示為比實際價格高出約 12 位小數。在該偽造價格被記錄至鏈上僅八秒後,駭客即以少量 SAUCE 投資作為抵押。由於預言機提供的錯誤數據,協議誤判該抵押品價值異常高昂,致使駭客得以借出遠超其存入抵押品實際價值的資產。根據 Bonzo 的調查,此偽造價格更新之所以被接受,是因為 Supra 的鏈上驗證節點(on-chain validator)在未驗證有效簽章的情況下便確認了該證明(proof)。團隊補充說明:駭客並未偽造有效的預言機簽章,且 SAUCE 的實際市場價格全程並未發生任何變動。該協議指出,此錯誤價格本應於抵達 Bonzo Lend 前,即在預言機自身的驗證層(validation layer)遭到拒絕,但該驗證系統卻未能正確執行此步驟。報告亦揭露,當異常價格資料仍處於生效狀態期間,另一帳戶亦從協議中額外借出部分資產。Bonzo 表示,該帳戶事後主動聯繫團隊,自稱為白帽資安研究員(white-hat security researcher),並表達歸還資金之意願。此筆交易目前已納入協議整體資產追回(recovery)流程中一併審酌。據報導,本次攻擊僅影響 Bonzo Lend 與 Bonzo Points 兩項服務;Bonzo Vaults、Bonzo Bridge,以及 BONZO 和 XBONZO 的單向質押(staking)與解質押(unstaking)服務均維持正常運作。另附有一張圖表,顯示 BONZO 價格下跌情形。目前 Bonzo Lend 的借貸池已暫停運作,相關審查與資產恢復工作仍在持續進行中。Bonzo Finance Labs 與 Bonzo Finance Foundation 已宣布,正評估協議重新啟用的條件,以及流動性提供者(liquidity providers)提領其資產的具體流程。團隊表示,關於用戶賠償方案、資金追回進度及協議重啟時程等細節,將於日後另行發布公告說明。*此內容不構成投資建議。 扫码获取更多资讯
为加密投资者打造的一站式投资研究平台