HederaのレンディングプロトコルBonzo、オラクル攻撃で900万ドルを失う

Hedera(ヘデラ)ネットワーク上の分散型レンディングプロトコルBonzo Lend(ボンゾ・レンド)が、外部オラクルの脆弱性を突かれ、約905万ドル(約14億4800万円、1ドル=160円換算)の資産を不正に借り出される攻撃を受けた。

運営のBonzo Finance Labs(ボンゾ・ファイナンス・ラボ)が7月11日に公開した予備的なインシデントレポートで明らかにした。

レポートによれば、攻撃者はまず担保としてわずか数ドル相当の250SAUCE(SaucerSwapのネイティブトークン)を預け入れ、その後、サードパーティオラクルであるSupra(スープラ)の「オンデマンド」コントラクトに、SAUCEの実勢価格を約12桁も上回る偽の価格更新を送信した。

この操作価格が反映された8秒後、レンディングプールから663万USDCと3452万WHBAR(合計約905万ドル相当)を借り入れた。

攻撃の核心はSupraの検証機構の欠陥にある。送信された更新の署名欄はすべてゼロだったが、検証コントラクトがこれを有効な署名として承認してしまった。攻撃者はSupraの暗号技術を破ったのではなく、無効な更新を受理させる抜け道を見つけたのだとレポートは説明している。

Bonzo Lend自体のコントラクトは設計通りに動作しており、被害は一つ上流のオラクル層で生じたと強調している。攻撃後、別のウォレットが約100万ドルを借り入れたが、ホワイトハッカーを名乗り、返還する意向を示したため、被害額905万ドルには算入していない。

Supraは修正を適用済みだが、Bonzo Lendは現在も稼働を停止している。

背景には、2026年にDeFiを狙う攻撃が増加している現状がある。The Blockの報道によれば、2026年上半期の攻撃は過去最多の207件に達し、被害総額は約9億7200万ドル(約1555億2000万円)に上った。

またDeFiに預けられた資産の総額(TVL)は、市場調整と相次ぐ攻撃を背景に、1月の約1150億ドル(約18兆4000億円)から6月には約700億ドル(約11兆2000億円)へと約39%減少している

|文・編集:井上 俊彦
|画像:Shutterstock

PR

ボーナスで始めるのにおすすめな国内暗号資産取引所3選

取引所名特徴

Coincheck
500円の少額投資から試せる!】
国内の暗号資産アプリダウンロード数.No1
銘柄数も最大級 、手数料も安い
無料で口座開設する

bitbank
【たくさんの銘柄で取引する人向け】
◆40種類以上の銘柄を用意
◆1万円以上の入金で現金1,000円獲得
無料で口座開設する

bitFlyer
初心者にもおすすめ】
◆国内最大級の取引量
◆トップレベルのセキュリティ意識を持つ
無料で口座開設する