
HederaのDeFiプロジェクトBonzo Lend、オラクルの「ゼロ署名」脆弱性により905万ドルの流出被害が発生
2026年7月11日、HederaネットワークのBonzo Lendがオラクル署名の脆弱性により905万ドルの損失を被った。攻撃者は250 SAUCEトークンの価値を12桁膨らませて資金を奪取しており、現在はホワイトハットとの交渉を通じた復旧作業が進められている。
2026年7月11日、ヘデラ(Hedera)ネットワーク最大のレンディングプロトコルであるBonzo Lendにおいて、約905万ドル規模のセキュリティ事故が発生した。今回の事件は、サードパーティのオラクルサービスであるSupraの署名検証プロセスで発生した脆弱性を悪用したもので、DeFiエコシステムにおけるオラクル依存性に対する警鐘を鳴らしている。
攻撃者はわずか250個のSAUCEトークンを担保として預け入れた後、オラクルの「ゼロ署名(zeroed signature)」の欠陥を利用して、該当資産の価値を12桁も膨らませた。これにより、プロトコル内に預けられていたステーブルコインやラップドHBAR(wHBAR)を大量に引き出すことに成功した。
Bonzo Finance Labsは事故を察知した直後、即座にプロトコルの運営を中断し、すべてのレンディング市場を凍結した。初期調査の結果、攻撃者はSupraオラクルの価格更新メカニズムを操作し、実際の価値よりもはるかに高い価格をシステムに注入していたことが判明した。
今回の事故は単なる価格操作ではなく、オラクルの暗号署名検証体系そのものが無力化されたことで発生した致命的なセキュリティ欠陥である。
奪取された資産は約905万ドル規模で、主にUSDCやUSDTなどのステーブルコインとwHBARで構成されている。Bonzo Lend側は現在、被害規模を確定させ、資産回収に向けた多角的な努力を傾けている。
技術的深層分析:オラクル検証ギャップの危険性
今回の攻撃の核心は、いわゆる「検証ギャップ(verifier gap)」にある。Supraオラクルの検証機は、有効な署名がない状態でも価格更新リクエストを承認するという誤りを犯した。これにより、攻撃者が任意に設定したSAUCEトークンの価格が、ヘデラ(Hedera)メインネットにそのまま反映された。
- Supraオラクルの署名検証ロジックにおける論理的欠陥の発生
- 無効な「ゼロ署名」データの無批判な受け入れ
- プロトコルセキュリティ層におけるサードパーティデータの再検証の欠如
攻撃者はこの脆弱性を利用して250 SAUCEの価値を数百万ドルに偽装し、これを担保にプロトコルの流動性を枯渇させた。これは、オラクルサービスの些細な署名検証エラーが、DeFiプロトコル全体の破綻につながる可能性があることを示す事例である。
一方、ヘデラ(HBAR)トークンの市場価格は、今回の事故にもかかわらず比較的堅調な推移を見せた。事故当日である7月11日の0.0772ドルから、7月14日現在は0.0768ドルへと小幅な下落にとどまり、ネットワーク自体への信頼は維持されていると分析される。
ホワイトハット「ウォレットB」との交渉および復旧状況
Bonzo Lendチームは現在、「ウォレットB」として知られるホワイトハット対応者と資金返還に向けた交渉を進めている。当該対応者は攻撃の過程で一部の資金を先制的に確保して保護しており、Bonzo側は彼らの協力が被害復旧の鍵になると見ている。
Bonzo Finance Labsは、ホワイトハットの善意による対応に感謝の意を表し、資金の返還が完了次第、これを透明に公開すると発表した。今回の交渉が成功裏に終われば、ユーザーの実質的な被害額は初期の推定値よりも減少する可能性がある。
今後の対応計画およびセキュリティ強化対策
- ホワイトハットが保有する資産の返還確認およびユーザーアカウントの復旧
- オラクルのセキュリティ脆弱性に対する全面的なパッチ適用および再監査
- マルチオラクルフィードの導入によるデータ信頼性の強化
- 事故原因と対応過程を盛り込んだ最終事後分析レポートの発表
Bonzo Lendは、システムの安全性が完全に確保されるまで、貸付市場の運営停止を維持する方針である。ユーザーは、公式チャネルを通じて発表される補償計画と市場再開スケジュールを継続的に注視する必要がある。



本コンテンツは情報提供と論評を目的としたものであり、投資助言ではありません。
この記事について話しましょう
ほかの読者の反応を見ながら、自分の意見も残せます。