
HederaベースのBonzo Finance、Supra Oracleの脆弱性により900万ドルの被害... セキュリティアラートを発令
2026年7月11日、HederaエコシステムのレンディングプロトコルであるBonzo Financeが、Supra Oracleのバリデータ脆弱性を悪用した攻撃により900万ドルの損失を被った。
2026年7月11日、ヘデラ(Hedera)ネットワーク基盤のレンディング・プロトコルであるBonzo Lend(ボンゾ・レンド)において、約900万ドル規模の資産が流出するセキュリティ事故が発生した。今回の攻撃は、プロトコルが使用しているSupra(スープラ)オンチェーン・オラクル検証機の特定の欠陥を狙ったものであることが確認された。身元不明の攻撃者は、担保価値を人為的に吊り上げることでプロトコル内の流動性を枯渇させ、これはヘデラ・コミュニティに大きな衝撃を与えている。
今回の事故は2026年7月11日午前(UTC基準)に初めて発見され、ヘデラ・エコシステム内で発生した過去最大規模のセキュリティ侵害事例の一つとして記録される見通しだ。攻撃者はオラクル・システムの盲点を利用し、短時間のうちに900万ドルに達する資金を奪取することに成功した。Bonzo Lendチームは即座の調査を通じて、今回の事態が外部の攻撃者による計画的なオラクル操作であることを確認した。
「攻撃者はSAUCEトークンを担保として活用し、Supraオラクルの検証エラーを突いて当該資産の価値を異常に高く設定することで、貸付を実行した。」
攻撃者はSAUCEトークンを担保として預け入れた後、オラクル・データを操作して当該トークンの市場価格よりもはるかに高い価値を認めさせた。このように吊り上げられた担保価値に基づき、プロトコルが提供する他の優良資産を過剰に借り入れる手法を取った。結果として、Bonzo Lendの流動性プールは空になり、一般ユーザーの資産引き出しが一時的に中断される事態に至った。
Supraオラクル検証機の技術的欠陥
今回のエクスプロイトの主な原因は、Supra(スープラ)のオンチェーン・オラクル検証機(Verifier)に存在した技術的な脆弱性であると指摘されています。この検証機は、外部から流入する価格データを正確に検証できず、攻撃者が操作された価格情報を注入できる経路を提供してしまいました。オラクルはスマートコントラクトに外部市場情報を伝達する重要なインフラであるにもかかわらず、今回の事例ではむしろセキュリティの最も脆弱なリンクとなりました。
- Supraオンチェーン検証機の価格データ有効性検査の失敗
- リアルタイムの市場価格とオラクル報告価格の間の不一致の発生
- 操作されたデータに基づいた異常な担保価値の算定および融資の実行
事故発生直前まで、ヘデラ(Hedera)のネイティブトークンであるHBARは比較的安定した推移を維持していました。2026年7月6日から7月9日まで、HBARの価格は約0.069ドルから0.073ドルのレンジ内で取引されていました。特に7月7日には取引高が約5,990万ドルまで急増し、一時的な活気を見せましたが、全体的な市場のボラティリティは低い水準を維持し、安定したエコシステム指標を示していました。
一般的に、DeFi(分散型金融)領域におけるオラクル操作は、流動性の低いプールを狙った大規模な取引やフラッシュローン(Flash Loan)を通じて行われます。攻撃者は特定の資産の価格を一時的に歪ませた後、オラクルがこの歪んだ価格をプロトコルに反映するように誘導して差益を得ます。Bonzo Lend(ボンゾ・レンド)の事例も、このような典型的なオラクル攻撃手法の変形と見なすことができ、データソースの信頼性と検証ロジックの重要性を改めて認識させるものです。
Bonzo Lend側は事故発生直後、プロトコルの稼働を停止し、被害規模の把握と対応策の策定に乗り出しました。ヘデラコミュニティ内では、今回の事故によりエコシステム全体の信頼性が低下することを懸念する声が高まっています。特に、Supraオラクルを使用している他のプロジェクトも潜在的なリスクにさらされている可能性が提起され、ネットワーク全体にわたるセキュリティ点検の必要性が浮上しています。
今回の900万ドル規模の損失は、ヘデラネットワーク内のセキュリティ基準を強化すべきだという強力なシグナルとして受け止められています。今後、プロトコルはオラクル検証機に対してより厳格なセキュリティ監査を実施する必要があり、単一のオラクルに依存するのではなく、マルチオラクルシステムを導入してリスクを分散させるべきだと考えられます。専門家は、今回の事件がヘデラのDeFiエコシステムが一段階成熟するために必ず解決すべきセキュリティ課題を残したと評価しています。
結論として、Bonzo Lendの今回のセキュリティ事故は、オラクルインフラの脆弱性がプロトコル全体の崩壊につながる可能性があることを示した事例です。被害の復旧とユーザーへの補償策が議論される中、ヘデラ財団と関連プロジェクトの今後の対応がエコシステム回復の鍵となる見通しです。ユーザーは資産を預け入れる際、該当するプロトコルのオラクル構造やセキュリティ監査の履歴をより綿密に検討する必要があります。
.png)


本コンテンツは情報提供と論評を目的としたものであり、投資助言ではありません。
この記事について話しましょう
ほかの読者の反応を見ながら、自分の意見も残せます。