La notizia in sintesi
- Bonzo Lend perde circa 9,05 milioni di dollari dopo un exploit dell’oracolo.
- La manipolazione del prezzo di SAUCE ha consentito prestiti oltre il collaterale.
- Il TVL di Bonzo Lend è sceso del 77% dopo l’incidente.
- Protocollo sospeso mentre proseguono recupero fondi e verifiche di sicurezza.
Riassunto generato con AI
Exploit su Bonzo Lend nella rete Hedera
Bonzo Lend, protocollo decentralizzato di prestiti costruito sulla rete Hedera, ha subito nelle ultime ore un exploit stimato in circa 9,05 milioni di dollari. L’attacco ha colpito il sistema di prezzi fornito dall’oracolo di terze parti Supra, consentendo di ottenere prestiti di valore molto superiore alle garanzie depositate.
Secondo le ricostruzioni disponibili, la falla riguardava la verifica delle firme nell’oracolo: un difetto rilevante perché gli oracoli trasferiscono dati esterni, come i prezzi degli asset, all’interno dei protocolli DeFi. In questo caso, la manipolazione del prezzo ha alterato il meccanismo che determina quanto un utente possa prendere in prestito.
L’episodio ha prodotto una contrazione immediata della fiducia e della liquidità: il valore totale bloccato, o TVL, di Bonzo Lend è calato del 77%, mentre il TVL complessivo di Hedera è diminuito di quasi il 40% nell’arco di 24 ore. Il caso evidenzia come l’affidabilità dell’infrastruttura oracle resti centrale per la sicurezza del credito decentralizzato.
Come è stata manipolata la garanzia
L’attaccante avrebbe depositato 250 token SAUCE, inizialmente di valore ridotto, e inviato un aggiornamento di prezzo manipolato che ne ha gonfiato il valore in HBAR. Con una garanzia apparentemente più alta, l’account ha potuto accedere a liquidità non proporzionata al collaterale reale.
Il rapporto preliminare di Bonzo indica prestiti per 6,63 milioni di USDC e 34,52 milioni di wrapped HBAR. Al prezzo di riferimento di 0,06998 dollari per HBAR, i due prelievi equivalgono a circa 9,05 milioni di dollari.
Un secondo wallet avrebbe preso in prestito ulteriori asset per circa un milione di dollari mentre il prezzo anomalo risultava ancora attivo. Quel wallet ha poi contattato Bonzo via Discord, dichiarandosi un soggetto white-hat intenzionato a restituire i fondi.
Per questo, il protocollo non ha incluso tali asset nella stima principale della perdita, pur indicando in circa 10,06 milioni di dollari il capitale complessivamente preso in prestito prima di eventuali recuperi. La distinzione è importante: la cifra del danno stimato non coincide necessariamente con l’ammontare finale irrecuperabile.
Sospensione e recupero restano decisivi
Bonzo Lend ha sospeso le operazioni per fermare ulteriori possibili manipolazioni e consentire l’analisi tecnica dell’incidente. Bonzo Labs e la Bonzo Finance Foundation stanno coordinando gli sforzi per recuperare gli asset e rafforzare le difese.
Il punto ancora aperto è il rimborso degli utenti: le fonti non confermano un recupero completo. L’esito dipenderà dalla restituzione degli asset, dall’analisi della vulnerabilità di Supra e dalle misure che verranno adottate prima di un eventuale riavvio del protocollo.
FAQ
Quanto ha perso Bonzo Lend?
Sì, la perdita stimata è di circa 9,05 milioni di dollari, calcolata sui principali asset prelevati dopo la manipolazione del prezzo.
Quale vulnerabilità ha causato l’attacco?
Sì, l’exploit è stato ricondotto a una falla nella verifica delle firme dell’oracolo Supra, usato per fornire dati di prezzo.
Quale token è stato coinvolto?
Sì, l’attaccante ha usato 250 token SAUCE, manipolandone il valore denominato in HBAR per aumentare artificialmente la garanzia.
Bonzo Lend ha fermato il protocollo?
Sì, Bonzo Lend ha sospeso le attività per limitare ulteriori danni, analizzare l’incidente e pianificare il recupero dei fondi.
Su quali fonti si basa questa analisi?
Sì, il contenuto nasce da analisi approfondita e verifica incrociata della nostra Redazione su più fonti: CoinDesk, firmata da Francisco Rodrigues e curata da Nikhilesh De, e The Cryptonomist.




