Hedera ekosisteminin en büyük borç verme protokolü Bonzo Lend, üçüncü taraf fiyat oracle’ındaki bir güvenlik açığının kötüye kullanılması sonucu yaklaşık 9,05 milyon dolarlık kayıp yaşadığını açıkladı. Saldırının ardından Bonzo Lend ve Bonzo Points hizmetleri geçici olarak durduruldu.
Bonzo Finance Labs tarafından Bonzo Finance Vakfı ile koordineli biçimde yayımlanan olay raporuna göre saldırı, 11 Temmuz 2026 tarihinde saat 00.51 UTC (03.51 UTC+3) civarında gerçekleşti. Saldırgan, Bonzo Lend’in kullandığı Supra oracle sistemine manipüle edilmiş bir SAUCE fiyatı göndererek düşük miktardaki teminatla gerçek değerinin çok üzerinde borçlanmayı başardı.
Bonzo, güvenlik açığının kendi akıllı sözleşmelerinden veya borç verme protokolünün tasarımından kaynaklanmadığını savundu. Şirket, sorunun Bonzo Lend’in kullandığı üçüncü taraf zincir üstü fiyat oracle’ının imza doğrulama mekanizmasında bulunduğunu belirtti.
Rapora göre saldırganın kullandığı ilk hesap, Hedera ana ağındaki oracle’ın isteğe bağlı fiyat güncelleme sözleşmesine HBAR cinsinden manipüle edilmiş bir SAUCE fiyatı gönderdi. SAUCE’ın gerçek piyasa fiyatı yaklaşık 0,2 HBAR seviyesindeyken, saldırgan tarafından gönderilen değer gerçek fiyatın yaklaşık 12 basamak üzerinde gösterildi.
Manipüle edilmiş fiyatın zincir üzerine kaydedilmesinden yalnızca sekiz saniye sonra saldırgan, küçük miktardaki SAUCE yatırımını teminat olarak kullandı. Oracle verisi nedeniyle söz konusu teminatın değeri protokol tarafından olağanüstü yüksek hesaplandı ve saldırgan, yatırdığı teminatın gerçek değerinin çok üzerinde varlık borçlandı.
Bonzo’nun incelemesine göre manipüle edilmiş fiyat güncellemesi, Supra’nın zincir üstü doğrulayıcısının geçerli bir imza içermeyen kanıtı onaylaması nedeniyle kabul edildi. Ekip, saldırganın geçerli bir oracle imzasını taklit etmediğini ve SAUCE’ın gerçek piyasa fiyatında herhangi bir değişiklik yaşanmadığını ekledi.
Protokol, hatalı fiyatın Bonzo Lend’e ulaşmasından önce oracle’ın doğrulama katmanında reddedilmesi gerektiğini ancak doğrulama sisteminin bunu gerçekleştiremediğini ifade etti.
Anormal fiyat verisi aktif durumdayken ikinci bir hesabın da protokolden ek varlıklar borçlandığı açıklandı. Bonzo, bu hesabın daha sonra ekiple iletişime geçtiğini, kendisini beyaz şapkalı bir güvenlik araştırmacısı olarak tanıttığını ve aldığı fonları iade etme niyetini bildirdiğini belirtti. Söz konusu işlem, protokol tarafından kurtarma sürecinin bir parçası olarak değerlendiriliyor.
Saldırıdan yalnızca Bonzo Lend ve Bonzo Points hizmetlerinin etkilendiği bildirildi. Bonzo Vaults, Bonzo Bridge ile BONZO ve XBONZO için tek taraflı staking ve unstaking hizmetlerinin normal şekilde çalışmaya devam ettiği belirtildi.

Bonzo Lend’deki borç verme havuzu, incelemeler ve kurtarma çalışmaları devam ederken durduruldu. Bonzo Finance Labs ve Bonzo Finance Foundation, protokolün yeniden açılabileceği koşulları ve likidite sağlayıcılarının varlıklarını çekebilmesi için izlenecek süreci değerlendirdiklerini açıkladı.
Ekip, kullanıcıların zararlarının karşılanması, fonların geri alınması ve protokolün yeniden faaliyete geçirilmesine ilişkin ayrıntıların daha sonra ayrı bir açıklamayla paylaşılacağını bildirdi.
*Yatırım tavsiyesi değildir.




