Bonzo Lend, el mayor protocolo de préstamos del ecosistema Hedera, anunció pérdidas de aproximadamente 9,05 millones de dólares debido a la explotación de una vulnerabilidad en un oráculo de precios de terceros. Tras el ataque, los servicios de Bonzo Lend y Bonzo Points fueron suspendidos temporalmente.
Según el informe de incidentes publicado por Bonzo Finance Labs en coordinación con la Fundación Bonzo Finance, el ataque tuvo lugar el 11 de julio de 2026, aproximadamente a las 00:51 UTC (03:51 UTC+3). El atacante logró obtener préstamos por un valor significativamente mayor que el valor real de SAUCE con una garantía mínima, enviando un precio de SAUCE manipulado al sistema de oráculos Supra utilizado por Bonzo Lend.
Bonzo argumentó que la vulnerabilidad de seguridad no provenía de sus propios contratos inteligentes ni del diseño de su protocolo de préstamos. La compañía afirmó que el problema radicaba en el mecanismo de verificación de firmas del oráculo de precios en cadena de terceros utilizado por Bonzo Lend.
Según el informe, la primera cuenta utilizada por el atacante envió un precio manipulado de SAUCE en HBAR al contrato de actualización de precios bajo demanda del oráculo en la red principal de Hedera. Si bien el precio real de mercado de SAUCE es de aproximadamente 0,2 HBAR, el valor enviado por el atacante se mostraba con aproximadamente 12 decimales por encima del precio real.
Tan solo ocho segundos después de que el precio manipulado se registrara en la cadena de bloques, el atacante utilizó una pequeña cantidad de SAUCE como garantía. Debido a los datos del oráculo, el protocolo calculó que el valor de esta garantía era excepcionalmente alto, lo que provocó que el atacante tomara prestados activos que superaban con creces el valor real de su garantía depositada.
Según la revisión de Bonzo, la actualización de precio manipulada fue aceptada porque el validador en cadena de Supra confirmó la prueba sin una firma válida. El equipo añadió que el atacante no falsificó una firma de oráculo válida y que no hubo cambios en el precio real de mercado de SAUCE.
El protocolo establecía que el precio incorrecto debería haber sido rechazado en la capa de validación del oráculo antes de llegar a Bonzo Lend, pero el sistema de validación no lo hizo.
Se reveló que una segunda cuenta también tomó prestados activos adicionales del protocolo mientras los datos de precios anómalos estaban activos. Bonzo declaró que esta cuenta contactó posteriormente al equipo, identificándose como un investigador de seguridad ético y expresando su intención de devolver los fondos. El protocolo está considerando esta transacción como parte del proceso de recuperación.
Según se informó, solo los servicios Bonzo Lend y Bonzo Points se vieron afectados por el ataque. Bonzo Vaults, Bonzo Bridge y los servicios de staking y unstaking unidireccionales para BONZO y XBONZO continuaron funcionando con normalidad.
El fondo de préstamos de Bonzo Lend se ha suspendido mientras continúan las revisiones y las labores de recuperación. Bonzo Finance Labs y Bonzo Finance Foundation anunciaron que están evaluando las condiciones para la reapertura del protocolo y el proceso para que los proveedores de liquidez retiren sus activos.
El equipo indicó que los detalles relativos a la compensación a los usuarios, la recuperación de fondos y la reactivación del protocolo se comunicarán más adelante en un comunicado aparte.
*Esto no constituye asesoramiento de inversión.