Exploit de Manipulation d'Oracle sur Bonzo Lend
Un attaquant a manipulé le prix du jeton SAUCE via un oracle tiers Supra défaillant et drainé environ 9 millions de dollars de Bonzo Lend, le plus grand protocole de prêt de Hedera.
- Date
- Victime
- Bonzo Finance
- Statut
- Fonds dérobés
Le 11 juillet 2026, Bonzo Finance — exploitant de Bonzo Lend, le plus grand protocole de prêt du réseau Hedera — a été exploité pour environ 9 millions de dollars après qu'un attaquant a manipulé le prix du jeton SAUCE via un oracle tiers défaillant et emprunté bien au-delà de la valeur de sa garantie.
Ce qui s'est passé
L'attaquant a déposé à peine 250 jetons SAUCE, d'une valeur de quelques dollars seulement, comme garantie sur Bonzo Lend, puis a injecté un prix SAUCE manipulé dans le flux d'oracle du protocole — gonflé d'environ douze ordres de grandeur. Bonzo Finance Labs a attribué la cause profonde à une faille de vérification de signature dans les contrats d'oracle de Supra : le vérificateur a accepté une mise à jour de prix qui portait une signature à zéro au lieu d'une signature valide du comité d'oracle autorisé. Le minuscule dépôt étant désormais valorisé comme une énorme garantie, l'attaquant principal a emprunté en quelques secondes environ 6,6 millions d'USDC et 34,5 millions de Wrapped HBAR (WHBAR). Un deuxième portefeuille a emprunté environ 1 million de dollars dans la même fenêtre et s'est ensuite identifié comme un intervenant white-hat, affirmant qu'il restituerait les fonds. Les traceurs on-chain et PeckShield ont signalé qu'environ 5,25 millions de dollars du butin ont été transférés depuis le mainnet de Hedera vers Ethereum via LayerZero, où environ 15,58 WBTC ont été échangés contre près de 2 360 ETH.
Conséquences
Bonzo Finance a suspendu le pool de prêt (Lend) et Points, tandis que Bonzo Vaults, Bridge et le staking sont restés intacts. La réaction du marché a été sévère : la valeur totale verrouillée de Hedera a chuté de près de 40 % en 24 heures, et le TVL propre de Bonzo s'est effondré d'environ 77 %. La faille résidant dans un oracle tiers et non dans les contrats de Bonzo, l'incident a ravivé l'examen des dépendances aux fournisseurs d'oracles dans la DeFi de Hedera. À la date des rapports, l'essentiel des fonds volés n'avait pas été récupéré — le butin de l'attaquant principal se déplaçait déjà entre chaînes —, même si la restitution promise d'environ 1 million de dollars par le portefeuille white-hat, si elle est honorée, en récupérerait une partie.
Pourquoi c'est important
Bonzo Lend est une attaque d'école du type manipuler l'oracle et emprunter contre rien — la même primitive qui a vidé Mango Markets, Polter Finance et, quelques semaines plus tôt en 2026, Edel Finance et Moonwell. Ce qui la distingue, c'est que la défaillance ne se situait pas dans la mathématique de prêt de Bonzo, mais dans un fournisseur de prix en amont qui a accepté une mise à jour non signée — un rappel saisissant qu'un protocole de prêt hérite de toute la surface d'attaque de chaque oracle auquel il fait confiance, et que la vérification de signature des flux de prix est un contrôle critique pour la sécurité, non une formalité. Cela souligne aussi à quelle vitesse les ponts inter-chaînes transforment un exploit local en un exploit irrécupérable : au cours de la même session, les fonds ont quitté Hedera pour Ethereum, hors de portée de tout gel côté Hedera.
Sources & preuves on-chain
- [01]coindesk.comhttps://www.coindesk.com/web3/2026/07/11/lending-protocol-bonzo-loses-77-of-value-locked-as-usd9-million-oracle-exploit-rattles-hedera
- [02]tradingview.comhttps://www.tradingview.com/news/cointelegraph:3049486b1094b:0-bonzo-lend-loses-9m-in-oracle-exploit-on-hedera/
- [03]blockonomi.comhttps://blockonomi.com/bonzo-lend-loses-9-05m-in-hedera-oracle-exploit-linked-to-supra-flaw
- [04]cryptotimes.iohttps://www.cryptotimes.io/2026/07/11/hederas-biggest-defi-lender-bonzo-lend-hacked-for-9m-5-25m-bridged-to-ethereum/
- [05]cryptobriefing.comhttps://cryptobriefing.com/hedera-network-exploit-5m-stolen/