分散型レンディングプロトコルBonzo Lendは、Hederaネットワーク上で第三者が提供するSupraオラクル契約の検証不備を突かれ、担保の価値を大幅に超える資産の借り入れを許してしまい、約905万ドルの損失を被った。
Bonzoの暫定インシデント報告によれば、攻撃者は価値の低い250 SAUCEトークンを預け入れ、価格を不正に改ざんすることで、トークンのHBAR建て評価額を過大に引き上げた価格情報の更新を行った。
これにより、該当アカウントは663万USDCおよび3452万ラップドHBARの借り入れに成功した。報告書で示された基準価格(1HBAR=0.06998ドル)を用いると、これら2回の引き出し総額は約905万ドルに相当する。
さらに報告書は、別のウォレットが異常に改ざんされた価格が有効な期間中に約100万ドル相当の資産を追加で借り入れていたことを明かしている。このウォレットの所有者は後にDiscord経由でBonzoに連絡を取り、自身をインシデント対応のホワイトハットと称し、資金返還の意向を表明したという。
Bonzoはこのウォレットからの資産を損失見積もりから除外し、回収前の借入総額を約1006万ドルと算出した。
DeFiLlamaのデータによれば、Hederaネットワークの総ロック資産(TVL)は現在約2570万ドルであり、今回の攻撃を受けて過去24時間で約40%減少したことが明らかになった。
