
Hedera DeFi 協議 Bonzo Lend 因預言機「零簽名」漏洞遭竊 905 萬美元
2026 年 7 月 11 日,Hedera 網絡上的 Bonzo Lend 因預言機簽名漏洞損失 905 萬美元。攻擊者將 250 枚 SAUCE 代幣的價值誇大 12 位數以竊取資金,目前正透過與白帽駭客協商進行修復工作。
2026 年 7 月 11 日,Hedera 網絡最大的借貸協議 Bonzo Lend 發生了約 905 萬美元的安全事故。此次事件利用了第三方預言機服務 Supra 在簽名驗證過程中出現的漏洞,為 DeFi 生態系統對預言機的依賴敲響了警鐘。
攻擊者僅存入 250 個 SAUCE 代幣作為抵押品,隨後利用預言機的「零簽名」(zeroed signature)缺陷,將該資產的價值誇大了 12 位數。藉此,攻擊者成功從協議中提取了大量存入的穩定幣和封裝 HBAR (wHBAR)。
Bonzo Finance Labs 在意識到事故後立即停止了協議運作並凍結了所有借貸市場。初步調查顯示,攻擊者操縱了 Supra 預言機的價格更新機制,向系統注入了遠高於實際價值的價格。
「這次事故不僅僅是簡單的價格操縱,而是預言機的加密簽名驗證體系本身被瓦解,從而導致的致命安全缺陷。」
被盜資產價值約 905 萬美元,主要由 USDC 和 USDT 等穩定幣以及 wHBAR 組成。Bonzo Lend 目前正在確定損失規模,並為追回資產做出多方努力。
技術深層分析:預言機驗證差距的風險
這次攻擊的核心在於所謂的「驗證差距 (verifier gap)」。Supra 預言機的驗證器在沒有有效簽名的情況下,錯誤地批准了價格更新請求。這導致攻擊者隨意設定的 SAUCE 代幣價格被直接反映在 Hedera 主網上。
- Supra 預言機簽名驗證邏輯中出現邏輯缺陷
- 無差別接受無效的「零簽名」數據
- 協議安全層缺乏對第三方數據的重新驗證
攻擊者利用此漏洞將 250 SAUCE 的價值偽裝成數百萬美元,並以此作為抵押品耗盡了協議的流動性。這是一個典型的案例,展示了預言機服務中微小的簽名驗證錯誤如何導致整個 DeFi 協議破產。
另一方面,儘管發生了這次事故,Hedera (HBAR) 代幣的市場價格表現相對穩健。價格從事故當天 7 月 11 日的 0.0772 美元僅小幅下跌至 7 月 14 日的 0.0768 美元,分析顯示對網絡本身的信任仍然得以維持。
與白帽「錢包 B」的談判及修復進展
Bonzo Lend 團隊目前正與被稱為「錢包 B」的白帽應對者進行資金退還談判。該應對者在攻擊過程中預先獲取並保護了部分資金,Bonzo 方面認為他們的合作將是修復損失的關鍵。
Bonzo Finance Labs 對白帽的善意應對表示感謝,並表示一旦資金退還完成,將會透明地公開相關資訊。如果這次談判成功結束,用戶的實際損失金額可能會低於最初的估計值。
未來應對計劃及保安強化措施
- 確認白帽人士持有的資產已歸還及恢復用戶帳戶
- 針對預言機(Oracle)保安漏洞進行全面修補及重新審計
- 透過引入多重預言機饋送以強化數據可靠性
- 發布包含事故原因及應對過程的最終事後分析報告
Bonzo Lend 打算維持借貸市場的停運狀態,直至系統安全性得到完全保障。用戶應持續關注透過官方渠道公佈的補償計劃及市場重啟時間表。



本內容僅供資訊與評論用途,並不構成投資建議。
加入這篇文章的討論
看看其他讀者的想法,也可以留下你的意見。