Bonzo Lend, un protocolo descentralizado de préstamos en la red Hedera, perdió aproximadamente $9,05 millones después de que un atacante explotara una falla de verificación en un contrato de oráculo Supra de terceros. Según el informe preliminar de Bonzo citado por CoinDesk, el fallo permitió que el atacante tomara préstamos por un valor muy superior al de su garantía.
El caso importa porque vuelve a poner bajo presión una pieza crítica de la infraestructura DeFi: los oráculos, que conectan los contratos inteligentes con datos de precios. Cuando una actualización de precios manipulada entra en un protocolo de préstamos, puede distorsionar el cálculo de garantías y permitir retiros que no reflejan el valor real depositado.
De acuerdo con Bonzo, el atacante depositó 250 tokens SAUCE de bajo valor y luego envió una actualización de precio manipulada que infló el valor del token denominado en HBAR. Con esa valoración alterada, la cuenta tomó prestados 6,63 millones de USDC y 34,52 millones de wrapped HBAR. Al precio de referencia de HBAR usado en el informe, esos retiros sumaban cerca de $9,05 millones.
El informe también señaló una segunda billetera que tomó prestados alrededor de $1 millón en activos adicionales mientras el precio anómalo seguía activo. Esa billetera contactó posteriormente a Bonzo por Discord, se identificó como un actor white-hat que respondió al incidente y dijo que tenía intención de devolver los fondos. Bonzo excluyó esos activos de su estimación principal de pérdidas, aunque situó el principal total prestado durante el incidente en unos $10,06 millones antes de recuperaciones.
El impacto se reflejó rápidamente en las métricas de liquidez. Según datos de DeFiLlama citados por CoinDesk, el valor total bloqueado de Hedera cayó casi 40% en 24 horas, hasta $25,7 millones, mientras que el TVL de Bonzo se desplomó 77%.