Hedera borç verme protokolü Bonzo Lend, Supra doğrulayıcısının manipüle edilmiş fiyat güncellemesini kabul etmesinin ardından 9 milyon dolar zarara uğradı.

The Block2026-07-11
Bonzo Lend, Hedera ($HBAR) üzerinde çalışan merkeziyetsiz bir kredilendirme protokolüydü; bir saldırgan, üçüncü taraf bir $Supra oracle doğrulayıcısındaki bir zafiyeti istismar ederek SAUCE token’ının yapay bir fiyatını gönderdiğinde, Bonzo tarafından yayımlanan ön olay raporuna göre Cuma akşamı geç saatlerde yaklaşık 9,05 milyon ABD Doları değerinde zarar gördü.

Protokol, saldırının hemen ardından Bonzo Lend’i durdurdu. Aynı zamanda puan programı da askıya alındı; ancak Bonzo’nun kasaları, köprüsü ve staking ürünleri etkilenmedi. Hedera, X platformunda yaptığı açıklamada bu olayın yalnızca bir üçüncü taraf oracle doğrulayıcısıyla sınırlı kaldığını ve ağın temel altyapısında bir kusur içermediğini belirtti.

Rapora göre saldırgan, Cuma akşamı saat 20.40 sıralarında birkaç dolarlık değere sahip olan 250 SAUCE token’ını teminat olarak yatırdıktan sonra, $Supra’nın talep üzerine çalışan oracle sözleşmesine, token’ın değerini yaklaşık 12 mertebe (10¹² kat) abartan bir fiyat güncellemesi gönderdi. O sırada SAUCE, 0,2 $HBAR civarında işlem görüyordu; manipüle edilen güncelleme ise 1’in ardından 30 sıfırın yer aldığı bir rakam içermekteydi.

Sahte fiyatın zincire 20.51’de kaydedilmesinin ardından saniyeler içinde cüzdan, neredeyse değersiz teminata karşılık yaklaşık 6,63 milyon $USDC ve 34,5 milyon sarılı (wrapped) $HBAR ödünç aldı. Bonzo, çekilen ana paranın değerini, $HBAR için referans fiyatı olarak yaklaşık 0,07 ABD Doları kullanarak yaklaşık 9,05 milyon ABD Doları olarak hesapladı.

Sahte fiyat güncellemesi, tamamen sıfırlardan oluşan bir kriptografik imza taşıyordu. $Supra’nın doğrulayıcısı bu imzayı derhal reddetmeliydi; ancak sözleşme imzaları kontrol ederken yaşanan bir kusur nedeniyle imzayı geçerli kabul etti.

Bu durum, saldırganın $Supra’nın meşru imzalayıcılarından onay almadan bir fiyat güncellemesi gönderebilmesini sağladı. Basitçe ifade etmek gerekirse, saldırgan $Supra’nın kriptografisini kırmadı ya da bir imzalama anahtarını çalmadı; bunun yerine doğrulayıcının açıkça geçersiz bir güncellemeyi kabul etmesini sağlayan bir yöntem buldu.

Bonzo, $Supra’nın sorunu kabul ettiğini ve etkilenen doğrulayıcı sözleşmesi için Hedera mainnet’inde bir düzeltme yayınladığını açıkladı. “Bu düzeltme sayesinde ve sözleşmenin davranışını inceleyebilme yeteneğimiz kazandıktan sonra, mekanizmayı tanımlayabildik,” diye yazdı Bonzo ekibi.

İkinci bir cüzdan, sahte fiyat aktifken yaklaşık 1 milyon ABD Doları ödünç aldıktan sonra ekip ile iletişime geçerek kendisini “beyaz şapkalı” (white-hat) bir yanıt verici olarak tanımladı ve fonları iade etmeyi amaçladığını duyurdu. Bonzo, başlıkta yer alan toplam tutardan bu miktarı dışlamıştır; aksi takdirde toplam tutar yaklaşık 10,06 milyon ABD Doları olurdu.

Zincirüstü araştırmacı Specter, Bonzo’nun saldırının kaynağını doğrulamasından önce Hedera’dan Ethereum’a şüpheli fon hareketlerini ilk olarak işaret etti. Meşru oracle güncellemesi, Cuma akşamı saat 21.36’da SAUCE’un fiyatını yeniden normal seviyeye getirdi ve Bonzo beş dakika sonra kredilendirme havuzunu durdurdu.

Bu olay, kripto sektöründe gerçekleşen saldırılar açısından ağır geçen bir yılı daha da uzatıyor: Immunefi’ye göre 2026 yılının ilk yarısında toplamda 207 kayıt altına alınmış olayla birlikte projeler yaklaşık 972 milyon ABD Doları kaybetti. Ayrıca bu olay, etkilenen uygulamanın temel sözleşmeleri dışındaki altyapı arızalarına, özel anahtar ele geçirilmelerine ve yetkili erişim zayıflıklarına doğru genel bir yönelimi yansıtır; bu yönelim, Gravity Bridge özel anahtarı ele geçirilmesi ve Kelp DAO’nun köprü doğrulama saldırısı gibi vakalarda da gözlemlenmiştir.

Uyarı: The Block, haber, araştırma ve veri sunan bağımsız bir medya kuruluşudur. Kasım 2023 itibarıyla Foresight Ventures, The Block’un çoğunluk hissedarıdır. Foresight Ventures, kripto alanında faaliyet gösteren diğer şirketlere de yatırım yapmaktadır. Kripto borsası Bitget, Foresight Ventures’un bir ana LP’sidir (anchor limited partner). The Block, kripto sektörü hakkında nesnel, etkili ve zamanında bilgi sağlamaya devam etmektedir. Güncel finansal açıklamalarımızı buradan inceleyebilirsiniz.

© 2026 The Block. Tüm hakları saklıdır. Bu makale yalnızca bilgilendirme amacıyla hazırlanmıştır. Yasal, vergi, yatırım, finans veya diğer danışmanlık amaçlarıyla kullanılmak üzere sunulmamıştır.

10 saniyede bilmeniz gerekenler
Your One-Stop Crypto Investment Powerhouse

Hedera borç verme protokolü Bonzo Lend, Supra doğrulayıcısının manipüle edilmiş fiyat güncellemesini kabul etmesinin ardından 9 milyon dolar zarara uğradı.

The Block2026-07-11
Bonzo Lend, Hedera (HBAR) üzerinde çalışan merkeziyetsiz bir kredilendirme protokolüydü; bir saldırgan, üçüncü taraf bir Supra oracle doğrulayıcısındaki bir zafiyeti istismar ederek SAUCE token’ının yapay bir fiyatını gönderdiğinde, Bonzo tarafından yayımlanan ön olay raporuna göre Cuma akşamı geç saatlerde yaklaşık 9,05 milyon ABD Doları değerinde zarar gördü.

Protokol, saldırının hemen ardından Bonzo Lend’i durdurdu. Aynı zamanda puan programı da askıya alındı; ancak Bonzo’nun kasaları, köprüsü ve staking ürünleri etkilenmedi. Hedera, X platformunda yaptığı açıklamada bu olayın yalnızca bir üçüncü taraf oracle doğrulayıcısıyla sınırlı kaldığını ve ağın temel altyapısında bir kusur içermediğini belirtti.

Rapora göre saldırgan, Cuma akşamı saat 20.40 sıralarında birkaç dolarlık değere sahip olan 250 SAUCE token’ını teminat olarak yatırdıktan sonra, Supra’nın talep üzerine çalışan oracle sözleşmesine, token’ın değerini yaklaşık 12 mertebe (10¹² kat) abartan bir fiyat güncellemesi gönderdi. O sırada SAUCE, 0,2 HBAR civarında işlem görüyordu; manipüle edilen güncelleme ise 1’in ardından 30 sıfırın yer aldığı bir rakam içermekteydi.

Sahte fiyatın zincire 20.51’de kaydedilmesinin ardından saniyeler içinde cüzdan, neredeyse değersiz teminata karşılık yaklaşık 6,63 milyon USDC ve 34,5 milyon sarılı (wrapped) HBAR ödünç aldı. Bonzo, çekilen ana paranın değerini, HBAR için referans fiyatı olarak yaklaşık 0,07 ABD Doları kullanarak yaklaşık 9,05 milyon ABD Doları olarak hesapladı.

Sahte fiyat güncellemesi, tamamen sıfırlardan oluşan bir kriptografik imza taşıyordu. Supra’nın doğrulayıcısı bu imzayı derhal reddetmeliydi; ancak sözleşme imzaları kontrol ederken yaşanan bir kusur nedeniyle imzayı geçerli kabul etti.

Bu durum, saldırganın Supra’nın meşru imzalayıcılarından onay almadan bir fiyat güncellemesi gönderebilmesini sağladı. Basitçe ifade etmek gerekirse, saldırgan Supra’nın kriptografisini kırmadı ya da bir imzalama anahtarını çalmadı; bunun yerine doğrulayıcının açıkça geçersiz bir güncellemeyi kabul etmesini sağlayan bir yöntem buldu.

Bonzo, Supra’nın sorunu kabul ettiğini ve etkilenen doğrulayıcı sözleşmesi için Hedera mainnet’inde bir düzeltme yayınladığını açıkladı. “Bu düzeltme sayesinde ve sözleşmenin davranışını inceleyebilme yeteneğimiz kazandıktan sonra, mekanizmayı tanımlayabildik,” diye yazdı Bonzo ekibi.

İkinci bir cüzdan, sahte fiyat aktifken yaklaşık 1 milyon ABD Doları ödünç aldıktan sonra ekip ile iletişime geçerek kendisini “beyaz şapkalı” (white-hat) bir yanıt verici olarak tanımladı ve fonları iade etmeyi amaçladığını duyurdu. Bonzo, başlıkta yer alan toplam tutardan bu miktarı dışlamıştır; aksi takdirde toplam tutar yaklaşık 10,06 milyon ABD Doları olurdu.

Zincirüstü araştırmacı Specter, Bonzo’nun saldırının kaynağını doğrulamasından önce Hedera’dan Ethereum’a şüpheli fon hareketlerini ilk olarak işaret etti. Meşru oracle güncellemesi, Cuma akşamı saat 21.36’da SAUCE’un fiyatını yeniden normal seviyeye getirdi ve Bonzo beş dakika sonra kredilendirme havuzunu durdurdu.

Bu olay, kripto sektöründe gerçekleşen saldırılar açısından ağır geçen bir yılı daha da uzatıyor: Immunefi’ye göre 2026 yılının ilk yarısında toplamda 207 kayıt altına alınmış olayla birlikte projeler yaklaşık 972 milyon ABD Doları kaybetti. Ayrıca bu olay, etkilenen uygulamanın temel sözleşmeleri dışındaki altyapı arızalarına, özel anahtar ele geçirilmelerine ve yetkili erişim zayıflıklarına doğru genel bir yönelimi yansıtır; bu yönelim, Gravity Bridge özel anahtarı ele geçirilmesi ve Kelp DAO’nun köprü doğrulama saldırısı gibi vakalarda da gözlemlenmiştir.

Uyarı: The Block, haber, araştırma ve veri sunan bağımsız bir medya kuruluşudur. Kasım 2023 itibarıyla Foresight Ventures, The Block’un çoğunluk hissedarıdır. Foresight Ventures, kripto alanında faaliyet gösteren diğer şirketlere de yatırım yapmaktadır. Kripto borsası Bitget, Foresight Ventures’un bir ana LP’sidir (anchor limited partner). The Block, kripto sektörü hakkında nesnel, etkili ve zamanında bilgi sağlamaya devam etmektedir. Güncel finansal açıklamalarımızı buradan inceleyebilirsiniz.

© 2026 The Block. Tüm hakları saklıdır. Bu makale yalnızca bilgilendirme amacıyla hazırlanmıştır. Yasal, vergi, yatırım, finans veya diğer danışmanlık amaçlarıyla kullanılmak üzere sunulmamıştır.

QR Kodunu Tarayarak Daha Fazla Bilgi Keşfedin
Kripto Yatırımcıları için Tek Nokta Finans Araştırma Platformu