Hederaネットワーク上の分散型レンディングプロトコルBonzo Lendは、第三者のSupraオラクル契約に存在した検証の欠陥を悪用され、約905万ドルの損失を被ったことが明らかになった。
攻撃者は、担保価値を大幅に上回る資産の借り入れを実行し、Bonzo Lendに甚大な被害をもたらした。Bonzoの暫定的なインシデント報告によれば、攻撃者は価値の低い250 SAUCEトークンを預け入れた後、価格を改ざんしてトークンのHBAR建て評価額を不正に引き上げる形で価格更新を行ったという。
プロトコルによると、該当する攻撃者アカウントは続けて663万USDCおよび3452万ラップドHBARを借り入れた。報告書内で基準とされる1HBAR=0.06998ドルの換算レートに基づくと、これら二回の引き出しだけで約905万ドルに相当する。
また、報告には別のウォレットがこの異常な価格設定が有効な間に約100万ドル相当の資産を追加借入した旨も記されている。さらに、このウォレットは後にDiscordを通じてBonzoに連絡を取り、インシデント対応のホワイトハットであると自己申告し資金返還の意向を示したとされている。
これを受けてBonzoは、同ウォレットの資金を損失見積もりから除外し、回収前の借入総元本を約1006万ドルと見積もっている。
なお、DeFiLlamaのデータによれば、Hederaにおける現在の総ロック資産(TVL)は約2570万ドルであり、今回のオラクル攻撃によって過去24時間で約40%にあたる大幅な減少がみられた。
