黑客正在操纵一种山寨币的价格

BitcoinSistemi2026-07-11
Bonzo Lend 是 Hedera 生态系统中规模最大的借贷协议,近日宣布因第三方价格预言机(price oracle)存在漏洞遭利用,导致约 905 万美元的损失。攻击发生后,Bonzo Lend 及 Bonzo Points 服务已被临时暂停。

据 Bonzo Finance Labs 在与 Bonzo Finance Foundation 协调下发布的事件报告,此次攻击发生于 2026 年 7 月 11 日 UTC 时间约 00:51(即 UTC+3 时间 03:51)。攻击者通过向 Bonzo Lend 所采用的 $Supra 预言机系统发送被篡改的 SAUCE 价格,仅以极低金额的抵押品,便借出了远超 SAUCE 实际价值的资产。

Bonzo 表示,该安全漏洞并非源于其自身智能合约或借贷协议的设计缺陷,问题根源在于 Bonzo Lend 所采用的第三方链上价格预言机的签名验证机制。

据报告披露,攻击者所使用的首个账户,曾向 Hedera 主网上的预言机按需价格更新合约发送了一条以 $HBAR 计价的篡改后 SAUCE 价格。而 SAUCE 的实际市场价格约为 0.2 $HBAR,攻击者所提交的价格却显示为比实际价格高出约 12 位小数。

在该篡改价格被写入链上仅 8 秒后,攻击者即使用少量 SAUCE 投资作为抵押品。由于预言机提供的数据失真,协议将该抵押品估值计算得异常之高,致使攻击者借出的资产远超其实际存入抵押品的价值。

Bonzo 的调查指出,该篡改后的价格更新之所以被接受,是因为 $Supra 的链上验证节点在未验证有效签名的情况下即确认了该证明。团队补充说明:攻击者并未伪造有效的预言机签名,且 SAUCE 的实际市场价格未发生任何变动。

协议指出,该错误价格本应在抵达 Bonzo Lend 之前,即被预言机自身的验证层拒绝,但验证系统未能履行该职责。

报告还披露,第二个账户亦在异常价格数据生效期间,从协议中额外借出了资产。Bonzo 表示,该账户后续主动联系了项目团队,自称为白帽安全研究员,并表达了归还资金的意愿。该笔交易正被协议纳入整体资金追回流程中予以评估。

报道称,本次攻击仅影响 Bonzo Lend 和 Bonzo Points 服务;Bonzo Vaults、Bonzo Bridge,以及 BONZO 和 XBONZO 的单向质押与解押服务均正常运行。另附一张显示 BONZO 价格下跌的图表。

目前 Bonzo Lend 的借贷池已暂停运作,相关审查与资金恢复工作仍在进行中。Bonzo Finance Labs 与 Bonzo Finance Foundation 已宣布,正在评估协议重启所需满足的条件,以及流动性提供者提取其资产的具体流程。团队表示,关于用户补偿方案、资金追回进展及协议重新激活时间表等细节,将在后续单独公告中公布。

*此内容不构成投资建议。

来源
由AI总结并翻译
10s 洞悉市场
Your One-Stop Crypto Investment Powerhouse

黑客正在操纵一种山寨币的价格

BitcoinSistemi2026-07-11
Bonzo Lend 是 Hedera 生态系统中规模最大的借贷协议,近日宣布因第三方价格预言机(price oracle)存在漏洞遭利用,导致约 905 万美元的损失。攻击发生后,Bonzo Lend 及 Bonzo Points 服务已被临时暂停。

据 Bonzo Finance Labs 在与 Bonzo Finance Foundation 协调下发布的事件报告,此次攻击发生于 2026 年 7 月 11 日 UTC 时间约 00:51(即 UTC+3 时间 03:51)。攻击者通过向 Bonzo Lend 所采用的 Supra 预言机系统发送被篡改的 SAUCE 价格,仅以极低金额的抵押品,便借出了远超 SAUCE 实际价值的资产。

Bonzo 表示,该安全漏洞并非源于其自身智能合约或借贷协议的设计缺陷,问题根源在于 Bonzo Lend 所采用的第三方链上价格预言机的签名验证机制。

据报告披露,攻击者所使用的首个账户,曾向 Hedera 主网上的预言机按需价格更新合约发送了一条以 HBAR 计价的篡改后 SAUCE 价格。而 SAUCE 的实际市场价格约为 0.2 HBAR,攻击者所提交的价格却显示为比实际价格高出约 12 位小数。

在该篡改价格被写入链上仅 8 秒后,攻击者即使用少量 SAUCE 投资作为抵押品。由于预言机提供的数据失真,协议将该抵押品估值计算得异常之高,致使攻击者借出的资产远超其实际存入抵押品的价值。

Bonzo 的调查指出,该篡改后的价格更新之所以被接受,是因为 Supra 的链上验证节点在未验证有效签名的情况下即确认了该证明。团队补充说明:攻击者并未伪造有效的预言机签名,且 SAUCE 的实际市场价格未发生任何变动。

协议指出,该错误价格本应在抵达 Bonzo Lend 之前,即被预言机自身的验证层拒绝,但验证系统未能履行该职责。

报告还披露,第二个账户亦在异常价格数据生效期间,从协议中额外借出了资产。Bonzo 表示,该账户后续主动联系了项目团队,自称为白帽安全研究员,并表达了归还资金的意愿。该笔交易正被协议纳入整体资金追回流程中予以评估。

报道称,本次攻击仅影响 Bonzo Lend 和 Bonzo Points 服务;Bonzo Vaults、Bonzo Bridge,以及 BONZO 和 XBONZO 的单向质押与解押服务均正常运行。另附一张显示 BONZO 价格下跌的图表。

目前 Bonzo Lend 的借贷池已暂停运作,相关审查与资金恢复工作仍在进行中。Bonzo Finance Labs 与 Bonzo Finance Foundation 已宣布,正在评估协议重启所需满足的条件,以及流动性提供者提取其资产的具体流程。团队表示,关于用户补偿方案、资金追回进展及协议重新激活时间表等细节,将在后续单独公告中公布。

*此内容不构成投资建议。

由AI总结并翻译
扫码获取更多资讯
为加密投资者打造的一站式投资研究平台