几美元如何变成九百万美元——Bonzo 预言机被攻击事件
运行在 Hedera 网络上的去中心化借贷协议 Bonzo Lend 本周损失约 900 万美元。攻击者让协议误以为一小把几乎一文不值的代币价值连城。真正的漏洞不在 Bonzo 自己的代码里,而在它所信任的一个价格数据源。 手法用大白话来说…
运行在 Hedera 网络上的去中心化借贷协议 Bonzo Lend 本周损失约 900 万美元。攻击者让协议误以为一小把几乎一文不值的代币价值连城。真正的漏洞不在 Bonzo 自己的代码里,而在它所信任的一个价格数据源。
手法用大白话来说是这样的:攻击者存入了 250 枚仅值几美元的 SAUCE 代币,随后提交了一条伪造的价格更新,把 SAUCE 的估值抬高了大约十二个数量级。凭借这份被凭空放大的抵押品,该账户借走了 663 万枚 USDC 和 3450 万枚封装 HBAR——约合 900 万美元的真实资产,背后却几乎没有任何真正的担保。
这条假价格是通过加密世界所说的“预言机”(oracle)进来的。区块链本身看不到外部世界,因此借贷应用要靠预言机来告知某个代币值多少钱,再据此决定用户能借出多少。一旦这个数字可以被伪造,整个借贷池就可能被掏空。Bonzo 将问题归咎于第三方 Supra 预言机验证器的缺陷——它接受了一条带有空白(全零)签名的被操纵价格。Supra 已承认该问题并部署了修复。
Bonzo 强调,自己的合约和 Hedera 的核心网络都没有被攻破,出问题的只是价格数据。在异常价格仍然生效期间,另一个钱包又借走了约 100 万美元,随后在 Discord 上联系 Bonzo,自称是白帽响应者,并表示打算归还这笔资金。
冲击是立竿见影的。Hedera 的总锁仓价值在 24 小时内下跌近 40%,Bonzo 自身的存款更是骤降 77%。这也符合去中心化金融艰难的一年:2026 年第二季度按事件数量计是有记录以来被黑最多的一个季度,共发生 83 起攻击、约 7.55 亿美元被盗;而今年 2 月,Stellar 上一个借贷池也曾因几乎相同的预言机手法被卷走约 1000 万美元。
给 DeFi 新手的启示是:一个借贷协议的安全性,取决于它所信任的数据。被操纵的价格数据源是这类应用被掏空的最常见方式之一,而这往往并不意味着底层区块链本身被黑了。在把资金投入任何协议之前,值得先确认它是否经过审计、价格从何而来。以上为信息分享,并非投资建议。