Hedera(ヘデラ)ネットワーク上の分散型レンディングプロトコルBonzo Lend(ボンゾ・レンド)が、外部オラクルの脆弱性を突かれ、約905万ドル(約14億4800万円、1ドル=160円換算)の資産を不正に借り出される攻撃を受けた。
運営のBonzo Finance Labs(ボンゾ・ファイナンス・ラボ)が7月11日に公開した予備的なインシデントレポートで明らかにした。
レポートによれば、攻撃者はまず担保としてわずか数ドル相当の250SAUCE(SaucerSwapのネイティブトークン)を預け入れ、その後、サードパーティオラクルであるSupra(スープラ)の「オンデマンド」コントラクトに、SAUCEの実勢価格を約12桁も上回る偽の価格更新を送信した。
この操作価格が反映された8秒後、レンディングプールから663万USDCと3452万WHBAR(合計約905万ドル相当)を借り入れた。
攻撃の核心はSupraの検証機構の欠陥にある。送信された更新の署名欄はすべてゼロだったが、検証コントラクトがこれを有効な署名として承認してしまった。攻撃者はSupraの暗号技術を破ったのではなく、無効な更新を受理させる抜け道を見つけたのだとレポートは説明している。
Bonzo Lend自体のコントラクトは設計通りに動作しており、被害は一つ上流のオラクル層で生じたと強調している。攻撃後、別のウォレットが約100万ドルを借り入れたが、ホワイトハッカーを名乗り、返還する意向を示したため、被害額905万ドルには算入していない。
Supraは修正を適用済みだが、Bonzo Lendは現在も稼働を停止している。
背景には、2026年にDeFiを狙う攻撃が増加している現状がある。The Blockの報道によれば、2026年上半期の攻撃は過去最多の207件に達し、被害総額は約9億7200万ドル(約1555億2000万円)に上った。
またDeFiに預けられた資産の総額(TVL)は、市場調整と相次ぐ攻撃を背景に、1月の約1150億ドル(約18兆4000億円)から6月には約700億ドル(約11兆2000億円)へと約39%減少している。
|文・編集:井上 俊彦
|画像:Shutterstock


