Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 308RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 308Oracle-Manipulation

Bonzo Lend Oracle-Manipulations-Exploit

Ein Angreifer manipulierte über einen fehlerhaften Supra-Orakel-Vertrag den SAUCE-Preis und erbeutete rund 9 Mio. US-Dollar aus Bonzo Lend, Hederas größtem Lending-Protokoll.

Datum
Status
Mittel entwendet

Am 11. Juli 2026 wurde Bonzo Finance — Betreiber von Bonzo Lend, dem größten Lending-Protokoll im Hedera-Netzwerk — um etwa 9 Millionen US-Dollar erleichtert, nachdem ein Angreifer den Preis des SAUCE-Tokens über ein fehlerhaftes Drittanbieter-Orakel manipuliert und weit über dem Wert seiner Sicherheiten geliehen hatte.

Was geschah

Der Angreifer hinterlegte lediglich 250 SAUCE-Tokens im Wert von nur wenigen Dollar als Sicherheit bei Bonzo Lend und spielte dann einen manipulierten SAUCE-Preis in den Orakel-Feed des Protokolls ein — aufgebläht um rund zwölf Größenordnungen. Bonzo Finance Labs führte die Ursache auf einen Signaturprüfungsfehler in den Orakel-Verträgen von Supra zurück: Der Prüfer akzeptierte ein Preis-Update, das eine Null-Signatur trug statt einer gültigen Signatur des autorisierten Orakel-Komitees. Da die winzige Einlage nun als enorme Sicherheit bewertet wurde, lieh sich der Hauptangreifer in Sekunden rund 6,6 Millionen USDC und 34,5 Millionen Wrapped HBAR (WHBAR). Eine zweite Wallet lieh im selben Zeitfenster etwa 1 Million US-Dollar und identifizierte sich später als White-Hat-Reagierender, der die Mittel zurückgeben wolle. On-Chain-Tracker und PeckShield meldeten, dass etwa 5,25 Millionen US-Dollar der Beute über LayerZero vom Hedera-Mainnet nach Ethereum gebrückt wurden, wo rund 15,58 WBTC in etwa 2.360 ETH getauscht wurden.

Folgen

Bonzo Finance pausierte den Lend-Pool und Points, während Bonzo Vaults, Bridge und Staking unberührt blieben. Die Marktreaktion war heftig: Der Total Value Locked von Hedera fiel in 24 Stunden um fast 40 %, und Bonzos eigener TVL stürzte um etwa 77 % ab. Da der Fehler in einem Drittanbieter-Orakel und nicht in Bonzos eigenen Verträgen lag, rückte der Vorfall die Abhängigkeit von Orakel-Anbietern in der Hedera-DeFi erneut in den Fokus. Zum Zeitpunkt der Berichterstattung war der Großteil der gestohlenen Mittel nicht zurückerlangt — die Beute des Hauptangreifers bewegte sich bereits cross-chain —, auch wenn die zugesagte Rückgabe von rund 1 Million US-Dollar durch die White-Hat-Wallet, falls eingehalten, einen Teil retten würde.

Warum es wichtig ist

Bonzo Lend ist ein Lehrbuchbeispiel für einen Orakel-manipulieren-und-gegen-nichts-leihen-Angriff — dasselbe Grundmuster, das Mango Markets, Polter Finance und, Wochen zuvor im Jahr 2026, Edel Finance und Moonwell leerte. Das Besondere ist, dass das Versagen nicht in Bonzos Lending-Mathematik lag, sondern in einem vorgelagerten Preis-Anbieter, der ein unsigniertes Update akzeptierte — eine deutliche Erinnerung daran, dass ein Lending-Protokoll die gesamte Angriffsfläche jedes Orakels erbt, dem es vertraut, und dass die Signaturprüfung von Preis-Feeds eine sicherheitskritische Kontrolle ist, keine Formalität. Es unterstreicht auch, wie schnell Cross-Chain-Bridges einen lokalen Exploit in einen unumkehrbaren verwandeln: Innerhalb derselben Sitzung verließen die Mittel Hedera Richtung Ethereum, außer Reichweite jeglichen Hedera-seitigen Einfrierens.

Quellen & On-Chain-Belege

  1. [01]coindesk.comhttps://www.coindesk.com/web3/2026/07/11/lending-protocol-bonzo-loses-77-of-value-locked-as-usd9-million-oracle-exploit-rattles-hedera
  2. [02]tradingview.comhttps://www.tradingview.com/news/cointelegraph:3049486b1094b:0-bonzo-lend-loses-9m-in-oracle-exploit-on-hedera/
  3. [03]blockonomi.comhttps://blockonomi.com/bonzo-lend-loses-9-05m-in-hedera-oracle-exploit-linked-to-supra-flaw
  4. [04]cryptotimes.iohttps://www.cryptotimes.io/2026/07/11/hederas-biggest-defi-lender-bonzo-lend-hacked-for-9m-5-25m-bridged-to-ethereum/
  5. [05]cryptobriefing.comhttps://cryptobriefing.com/hedera-network-exploit-5m-stolen/

Verwandte Einträge