Bonzo Lendでオラクルの脆弱性を突かれ900万ドルの被害
ヘデラ(Hedera/HBAR)ネットワーク上で展開するレンディングプロトコル「Bonzo Lend(Bonzo Finance)」において、7月11日、価格参照システムの隙を突いた不正流出が発生し、約900万ドル(約13.5億円相当)の被害が生じた。
There appears to be an ongoing hack involving @hedera Network, with over $3.7M already bridged to Ethereum by the attacker.
The stolen funds are currently being swapped from WBTC for ETH after being bridged from the Hedera network via Layerzero.
Theft addresses:… pic.twitter.com/KSxd3K2vlu
— Specter (@SpecterAnalyst) July 11, 2026
ヘデラネットワークを巻き込んだハッキングが進行中のようで、攻撃者によって既に370万ドル以上がイーサリアムにブリッジされています。盗まれた資金は現在、Layerzeroを介してヘデラ’ネットワークからブリッジされた後、WBTCからETHに交換されています。
現在、安全確保のため同プロトコルおよびポイントプログラムは一時停止されている状態だ。発端は、オンチェーン研究者のSpecter氏がイーサリアム(Ethereum/ETH)へと流れる不審な資金移動を追跡したことだった。調査の結果、攻撃者はわずか250個(数ドル相当)のSAUCEトークンを担保として預け入れた後、システムのバグを利用し、その評価額を約12桁も暴騰させていたことが判明。この架空の資産価値を背景に、プールから663万USDCと3,450万Wrapped HBAR(WHBAR)を不正に借り入れていた。
なお、同時期に約100万ドル(約1.6億円)を引き出した別のウォレットは、自身をホワイトハット(善意のハッカー)と名乗り、資金返還の意思を示している。
原因はスマートコントラクトではなく価格オラクルの欠陥
今回の事件についてBonzo側は、自社のスマートコントラクトやヘデラのコアネットワークに問題があったわけではなく、外部の価格供給システム=オラクルに原因があると発表した。
The @bonzo_finance lend protocol has been temporarily paused.
The Bonzo Finance Labs team is investigating volatile markets across Bonzo Lend and diligently working alongside partners during this investigation.
The team will continue to provide updates as they become…
— Bonzo Finance Labs (@bonzo_finance) July 11, 2026
bonzo_financeの融資プロトコルは一時的に停止されています。Bonzo Finance Labsチームは、Bonzo Lend全体における市場の変動を調査しており、この調査期間中、パートナーと緊密に連携しています。チームは…
具体的には、データプロバイダーであるSupra(スープラ)のオンチェーンオラクル検証器に深刻な欠陥が存在していた。この検証器が、内容のないゼロ署名で改ざんされたSAUCEの価格データを受け入れてしまい、既存の正当な署名を無効化した。これにより、操作された異常な高値がそのままプロトコルに反映される結果となった。すでにSupra側は問題を認識し、修正プログラムを適用したとのことだ。
巧妙化する価格操作と、試練が続く2026年のDeFi市場
今回の件のように、ネットワークやアプリ自体が正常に稼働していても、価格データの歪みを利用して流動性を吸い上げる手口は過去にも発生している。
今年(2026年)2月にはステラ(Stellar)ベースの「YieldBlox DAO」が同様の価格経路操作により約1,000万ドル(約16億円)を失った。
また、2026年に入り仮想通貨プラットフォームを狙ったサイバー犯罪は急増傾向にある。7月だけでも「Summer.fi」への600万ドル(約9.7億円)攻撃や、「BONK DAO」に対する2,000万ドル(約32.3億円)のガバナンス攻撃を含め、被害総額はすでに2,800万ドル(約45億円)を突破。データ企業によると、2026年第2四半期はインシデント件数が過去最多の83件(被害額約1,222.8億円)を記録。管理者権限の奪取や価格操作による被害が全体の37%を占めている。
こうした相次ぐセキュリティ侵害はユーザーの不信感を招いており、年初に約1,150億ドル(約18.6兆円)あったDeFi(分散型金融)の預かり資産総額(TVL)は、6月時点で700億ドル(約11.3兆円)強へと約39%も減少するなど、業界全体が厳しい局面に立たされている。
























