- У DeFi зафіксували новий експлойт.
- Хакер вивів понад $9 млн через помилку оракула.
- Проблема виявилася не в Hedera, а в оракулі Supra.
DeFi-протокол Bonzo Lend опублікував технічний звіт щодо інциденту, який стався 11 липня 2026 року в мережі Hedera. Команда заявила, що причиною втрати близько $9,05 млн стала не вразливість протоколу чи блокчейна Hedera, а помилка у механізмі верифікації цінового оракула Supra, що дозволила зловмиснику отримати кредити під штучно завищену заставу.
Своєю чергою, аналітики PeckShield повідомили, що зловмисник вивів із екосистеми Hedera активи на суму близько $5,25 млн, перевівши їх до мережі Ethereum, а згодом почав відмивати кошти через Tornado Cash. За даними компанії, через міксер уже пройшло 4402 ETH (приблизно $8 млн).
#PeckShieldAlert Specter has reported that @hedera Network appeared to be exploited, with $5.25M in stolen funds already bridged from #Hedera Mainnet to Ethereum.
The hacker originally funded 1 ETH from #TornadoCash and now holds 2.36K ETH ($4.25M) & 15.58 WBTC ($1M) in the… pic.twitter.com/bPcKx0FXpO— PeckShieldAlert (@PeckShieldAlert) July 11, 2026
Що сталося?
За інформацією Bonzo Finance Labs, зловмисник відправив до оракула Supra підроблене оновлення ціни токена SAUCE, яке прийнялось через помилку у верифікаторі підписів.
Замість реальної вартості близько 0,2 HBAR оракул записав значення, завищене приблизно у 12 порядків. Через вісім секунд після цього атакувальник використав депозит лише у 250 SAUCE як заставу та позичив із Bonzo Lend активи на понад $9 млн.
У звіті наголошується, що проблема виникла ще до того, як дані потрапили до протоколу кредитування:
«Bonzo Lend не працював некоректно і не відхилявся від своєї логіки. Отримавши дані від оракула, протокол виконав саме ті обчислення, для яких був створений».
Команда також підкреслила:
- смартконтракти Bonzo Lend не містили вразливості;
- ринкова ціна SAUCE не змінювалася;
- атака не використовувала флешпозику;
- маніпуляція стала можливою через збій у процесі перевірки підписів у Supra Oracle.
Після інциденту Bonzo Lend та Bonzo Points призупинили. Водночас Bonzo Vaults, Bonzo Bridge і стейкінг BONZO/XBONZO продовжують працювати у штатному режимі.
Спільнота заперечила злом мережі
На хвилі повідомлень про «експлойт Hedera» учасники спільноти звернули увагу, що проблема не стосувалася самого блокчейна.
Зокрема, Джозеф Бергвінсон заявив:
«Це не був злом мережі Hedera. Причиною стала помилка у верифікаторі оракула Supra, який прийняв оновлення ціни без жодного підпису. Hedera не була скомпрометована. Називати це зломом мережі — дезінформація».
У Bonzo Finance підтвердили, що Supra вже виправила помилку у верифікаторі.
Окремо команда повідомила про ще одного учасника інциденту — Wallet B, який також скористався аномальною ціною та позичив близько $1 млн, але згодом сам зв’язався з розробниками, представився білим хакером-дослідником і заявив про намір повернути кошти. Через це Bonzo оцінює основний збиток саме у $9,05 млн, а не понад $10 млн.
Нагадаємо, що інцидент стався на тлі зростання кількості атак на криптопротоколи у 2026 році. За даними CertiK, лише за перше півріччя галузь втратила $1,32 млрд через зломи. У компанії зазначили, що дедалі частіше хакери атакують старі або навіть покинуті протоколи, використовуючи автоматизовані інструменти пошуку прихованих вразливостей.
Загроза для DeFi: крипторинок накрила хвиля з понад 200 хакерських атак за пів року — звіт 04.07.2026 Читати
Лише у липні було зламано Hinkal Protocol, який втратив понад 822 000 USDC, а викрадені кошти також були відмиті через Tornado Cash.
Крім того, Summer.fi зазнав експлойту приблизно на $6 млн через помилку в логіці облікових механізмів, хоча приватні ключі чи адміністративні права скомпрометовані не були.
Сообщение У Bonzo Lend пояснили причину експлойту на $9 млн в мережі Hedera появились сначала на INCRYPTED.









