Hedera ağı üzerindeki merkeziyetsiz borç verme protokolü Bonzo Lend, üçüncü taraf Supra oracle sözleşmesindeki bir doğrulama açığının istismar edilmesi sonucu yaklaşık 9,05 milyon dolarlık kayıp yaşadı. CoinDesk’in Bonzo’nun ön olay raporuna dayandırdığı habere göre saldırgan, teminat değerini olduğundan yüksek gösteren manipüle edilmiş fiyat güncellemesiyle protokolden teminatının çok üzerinde varlık borç aldı.
Gelişme, DeFi protokollerinde oracle altyapısının ne kadar kritik olduğunu bir kez daha gösterdi. Borç verme piyasalarında teminat değerlemesi doğrudan fiyat verilerine bağlı olduğu için, hatalı veya manipüle edilmiş oracle girdileri yalnızca tek bir protokolü değil, aynı ağdaki likidite algısını ve kullanıcı güvenini de etkileyebiliyor.
Bonzo’nun ön raporuna göre saldırgan önce düşük değere sahip 250 SAUCE token yatırdı. Ardından tokenin HBAR bazındaki değerini şişiren fiyat güncellemesi gönderildi ve bu anormal değerleme kullanılarak 6,63 milyon USDC ile 34,52 milyon wrapped HBAR borç alındı. Rapordaki 0,06998 dolarlık HBAR referans fiyatına göre bu iki çekimin toplam değeri yaklaşık 9,05 milyon dolar olarak hesaplandı.
Raporda ayrıca, anormal fiyat aktifken ikinci bir cüzdanın yaklaşık 1 milyon dolarlık ek varlık borç aldığı belirtildi. Bu cüzdanın daha sonra Bonzo ile Discord üzerinden iletişime geçtiği, kendisini olaya müdahale eden bir beyaz şapkalı aktör olarak tanıttığı ve fonları iade etmeyi amaçladığını söylediği aktarıldı. Bonzo, bu varlıkları ana kayıp tahminine dahil etmedi; olay sırasında geri kazanım öncesi toplam anapara borçlanmasını yaklaşık 10,06 milyon dolar olarak verdi.
DeFiLlama verilerine atıf yapan habere göre Hedera’nın kilitli toplam değeri olay sonrasında 25,7 milyon dolara geriledi ve son 24 saatte yaklaşık yüzde 40 düştü. Bonzo’nun TVL’inde ise yüzde 77’lik düşüş kaydedildi. Bu ölçümler, istismarın sadece protokol bilançosunda değil, Hedera ekosistemindeki DeFi likiditesinde de belirgin bir sarsıntı yarattığını gösteriyor.