Exploit de Manipulación de Oráculo en Bonzo Lend
Un atacante manipuló el precio del token SAUCE mediante un oráculo externo de Supra defectuoso y drenó unos 9 millones de dólares de Bonzo Lend, el mayor protocolo de préstamos de Hedera.
- Fecha
- Víctima
- Bonzo Finance
- Estado
- Fondos robados
El 11 de julio de 2026, Bonzo Finance —operador de Bonzo Lend, el mayor protocolo de préstamos de la red Hedera— fue explotado por aproximadamente 9 millones de dólares después de que un atacante manipulara el precio del token SAUCE a través de un oráculo externo defectuoso y pidiera prestado muy por encima del valor de su garantía.
Qué ocurrió
El atacante depositó apenas 250 tokens SAUCE, con un valor de solo unos pocos dólares, como garantía en Bonzo Lend, y luego introdujo un precio manipulado de SAUCE en el feed del oráculo del protocolo —inflado en torno a doce órdenes de magnitud. Bonzo Finance Labs atribuyó la causa raíz a un fallo de verificación de firmas en los contratos del oráculo de Supra: el verificador aceptó una actualización de precio que llevaba una firma en cero en lugar de una firma válida del comité de oráculos autorizado. Con el diminuto depósito ahora valorado como una enorme garantía, el atacante principal pidió prestados en segundos unos 6,6 millones de USDC y 34,5 millones de Wrapped HBAR (WHBAR). Una segunda billetera pidió prestado alrededor de 1 millón de dólares en la misma ventana y más tarde se identificó como un respondedor white-hat, afirmando que devolvería los fondos. Los rastreadores on-chain y PeckShield informaron de que unos 5,25 millones de dólares del botín se puentearon desde la mainnet de Hedera a Ethereum mediante LayerZero, donde unos 15,58 WBTC se cambiaron por cerca de 2.360 ETH.
Consecuencias
Bonzo Finance pausó el pool de préstamos (Lend) y Points, mientras que Bonzo Vaults, Bridge y el staking quedaron intactos. La reacción del mercado fue severa: el valor total bloqueado de Hedera cayó casi un 40 % en 24 horas, y el propio TVL de Bonzo se desplomó alrededor de un 77 %. Dado que el fallo residía en un oráculo externo y no en los contratos propios de Bonzo, el incidente reavivó el escrutinio de las dependencias de proveedores de oráculos en la DeFi de Hedera. Hasta la fecha de los informes, el grueso de los fondos robados no había sido recuperado —el botín del atacante principal ya se movía entre cadenas—, aunque la devolución prometida de ~1 millón de dólares por la billetera white-hat, de cumplirse, recuperaría una parte.
Por qué importa
Bonzo Lend es un ataque de manual del tipo manipular el oráculo y pedir prestado contra la nada —la misma primitiva que drenó a Mango Markets, Polter Finance y, semanas antes en 2026, a Edel Finance y Moonwell. Lo que lo distingue es que el fallo no estuvo en la matemática de préstamos de Bonzo, sino en un proveedor de precios previo que aceptó una actualización sin firmar —un claro recordatorio de que un protocolo de préstamos hereda toda la superficie de ataque de cada oráculo en el que confía, y de que la verificación de firmas en los feeds de precios es un control crítico para la seguridad, no una formalidad. También subraya lo rápido que los puentes entre cadenas convierten un exploit local en uno irrecuperable: dentro de la misma sesión, los fondos abandonaron Hedera hacia Ethereum, fuera del alcance de cualquier congelación del lado de Hedera.
Fuentes y evidencia on-chain
- [01]coindesk.comhttps://www.coindesk.com/web3/2026/07/11/lending-protocol-bonzo-loses-77-of-value-locked-as-usd9-million-oracle-exploit-rattles-hedera
- [02]tradingview.comhttps://www.tradingview.com/news/cointelegraph:3049486b1094b:0-bonzo-lend-loses-9m-in-oracle-exploit-on-hedera/
- [03]blockonomi.comhttps://blockonomi.com/bonzo-lend-loses-9-05m-in-hedera-oracle-exploit-linked-to-supra-flaw
- [04]cryptotimes.iohttps://www.cryptotimes.io/2026/07/11/hederas-biggest-defi-lender-bonzo-lend-hacked-for-9m-5-25m-bridged-to-ethereum/
- [05]cryptobriefing.comhttps://cryptobriefing.com/hedera-network-exploit-5m-stolen/