基于Hedera [HBAR]网络构建的非托管借贷协议Bonzo Lend近期遭到攻击。此次攻击源于预言机漏洞,使得攻击者能够借出超出所抵押品价值的资产。最终,Bonzo Lend损失了905万美元。
初步调查显示,此次入侵与Supra签名验证中的一个缺陷有关,该缺陷使得攻击者能够操纵SAUCE价格数据。随后,攻击者在协议暂停活动前获得了抵押不足的贷款。


Hedera在X上发帖确认,Bonzo Lend的智能合约和Hedera核心网络并未被攻破。这一发现将问题范围缩小至外部预言机基础设施,而非区块链安全本身。
与此同时,这次攻击迅速波及了市场情绪。截至发稿时,HBAR价格跌至约0.068美元,而Hedera的DeFi总锁仓价值暴跌21.43%,降至2540万美元。尽管网络本身未受损害,但此次下跌反映了资本正在撤出。


尽管如此,这次攻击暴露了弹性价格预言机日益增长的重要性。随着恢复工作的继续,更强大的预言机保障和验证标准可能将成为保护DeFi借贷协议的关键。
预言机缺陷暴露DeFi风险
对Bonzo Lend智能合约的审计确定其本身不存在相关问题。但同时,审计也揭示了此次攻击成功的原因。尽管该协议读取了被操纵的SAUCE价格来精确计算抵押品,但其行为完全是按照协议设计执行的。
审计人员观察到SAUCE交易量峰值仅有几千美元,因此排除了闪电贷和市场操纵的可能性。
攻击者并未使用这些方法,而是利用了协议对可信预言机输入的依赖。 尽管代码执行无误,但攻击者仍可将协议规则武器化,用以攻击用户和协议所有者。这种模式反映了DeFi中一个反复出现的风险:即使代码执行完美,规则本身也可能被武器化。此类协议逻辑漏洞在DefiLlama的黑客攻击数据库中仍是一个反复出现的类别。
因此,这种反复出现的模式正推动协议在传统智能合约审计之外,采用经济模拟、形式化验证和漏洞赏金计划。
最终总结
- Hedera预言机攻击暴露了可信价格数据源中的关键风险。
- HBAR表明,即使协议逻辑正确,仍可能导致数百万美元的损失。






