当前位置: 首页
web3.0
万美元蒸发!Bonzo Lend遭Hedera预言机攻击暴露DeFi安全风险

万美元蒸发!Bonzo Lend遭Hedera预言机攻击暴露DeFi安全风险

热心网友 时间:2026-07-11
转载

BonzoLend遭预言机漏洞攻击,损失900万美元。攻击者利用Supra验证器缺陷,通过零签名价格操控虚高SAUCE抵押品价值后套取贷款。事件暴露DeFi对外部数据源的过度信任,非合约或底层网络漏洞。第二季度DeFi共发生83起漏洞利用,损失约7 55亿美元,安全危机持续加剧。

Bonzo Lend 预言机漏洞攻击深度解析:900万美元被盗的真相与行业警示

在去中心化金融(DeFi)领域,安全事件从未停止。近日,Bonzo Lend 遭遇预言机漏洞攻击,导致约900万美元被盗。这一事件再次敲响了DeFi安全的警钟。攻击者并未利用复杂的智能合约漏洞,而是通过操纵SAUCE代币的价格喂送机制,将仅值几美元的抵押品虚高至数百万美元,成功从借贷池中抽走巨额资金。这种攻击手法虽不新鲜,却屡屡得手,凸显出行业在预言机安全方面的系统性缺陷。

2026虚拟币交易平台推荐:

根据Bonzo Finance发布的初步事件报告,攻击者仅存入250枚SAUCE代币(价值约几美元),随后提交了一次价格更新,使该代币的价值被虚高约12个数量级。这一操作让原本一文不值的抵押品瞬间变成天文数字,攻击者随即从贷款池中借出了663万美元3450万枚HBAR。整个过程中,Bonzo Lend合约Hedera核心网络均未出现技术故障,问题完全出在对外部数据源的过度信任上。一个带有零签名的操纵价格,竟被预言机验证器直接接受,这已不是小漏洞,而是系统性的信任机制缺陷

Bonzo将事件归因于Supra链上预言机验证器的缺陷,强调并非自身合约或Hedera网络的漏洞。Supra方面也承认了问题,并部署了修复方案。但行业需要反思的是:零签名的价格更新为何能被接受?这种信任机制本身是否需要重新设计?预言机安全已成为DeFi生态中最薄弱的环节之一。

Bonzo Lend 预言机漏洞导致900万美元损失的经济影响分析图

上图展示了该事件的经济影响估算,数据来源:Bonzo Finance。损失金额与影响范围清晰可见。

DeFi 安全危机加剧:2026年第二季度成历史最糟季度

Bonzo Lend攻击事件并非孤例,而是2026年DeFi安全危机的一个缩影。根据行业数据,第二季度已成为有记录以来事件最多的季度——共发生83次漏洞利用,总损失约7.55亿美元。其中,跨链桥攻击造成3.51亿美元损失,而管理员权限攻击伪造代币价格操纵合计占季度亏损的37%。这些数据表明,预言机漏洞价格操纵攻击正在成为DeFi安全的主要威胁。

值得注意的是,同期DeFi锁定总价值(TVL)持续下滑。从1月份的约1150亿美元,到6月已跌至700多亿美元,降幅达39%。CryptoRank统计显示,2026年上半年共发生121起黑客事件,总损失约9.42亿美元。反复出现的漏洞事件,正在持续侵蚀用户信心,加速资本外流。TVL的下滑与安全事件的频发形成了恶性循环。

类似事件对比:Stellar 网络上的 YieldBlox 攻击

紧随Bonzo事件之后,Stellar网络上也发生了类似的抵押品定价漏洞攻击。今年二月,攻击者通过操纵USTRY抵押品的价格路径,从YieldBlox管理的借贷池中抽走了约1000万美元。两次事件的核心逻辑几乎一模一样:利用预言机价格喂送机制的漏洞,虚高抵押品价值,从而借出远超抵押品价值的资产。这种攻击模式的重复出现,说明行业对预言机安全的重视程度依然远远不够

这些事件揭示了一个深层问题:DeFi协议对单一数据源或单一验证机制的依赖,构成了巨大的安全风险。当预言机验证器无法有效验证价格更新的真实性时,整个借贷协议就会暴露在攻击之下。行业需要从信任机制数据源多样性两个维度进行根本性改革。

如何防范预言机漏洞攻击?关键建议与最佳实践

针对预言机安全问题,DeFi项目方和开发者可以采取以下措施,降低类似攻击风险:

  • 采用多重预言机数据源:避免单一数据源依赖,使用多个独立预言机(如Chainlink、Band Protocol、Supra等)进行交叉验证,确保价格数据的真实性和一致性。
  • 实施价格偏差检测机制:在协议层面设置价格更新阈值,当单次价格变动幅度超过预设比例(如50%或100%)时,触发人工审核或延迟执行,防止极端价格操纵。
  • 加强签名验证与权限管理:对预言机价格更新进行严格的签名验证,确保只有经过授权的验证节点才能提交价格数据,避免零签名或弱签名漏洞。
  • 引入时间加权平均价格(TWAP):使用TWAP机制而非瞬时价格,平滑价格波动,降低单点操纵的影响。
  • 定期进行安全审计与压力测试:邀请第三方安全团队对预言机集成逻辑进行专项审计,模拟极端价格操纵场景,发现潜在漏洞。
  • 建立应急响应与暂停机制:在协议中设置紧急暂停功能,当检测到异常价格活动时,能够迅速冻结借贷池,防止进一步损失。

对于普通用户而言,也需要提高警惕:选择经过充分审计的DeFi协议,关注预言机安全相关的公开披露,避免将资产集中在单一协议中。分散投资和定期监控协议状态,是降低风险的实用策略。

行业展望:预言机安全将成为DeFi发展的核心议题

从Bonzo Lend到YieldBlox,预言机漏洞攻击正在成为DeFi生态中最具破坏性的威胁之一。随着跨链桥借贷协议的复杂性持续增加,攻击者的技术手段也在不断进化。行业需要从根本上重新审视信任机制的设计预言机不应成为单点故障,而应通过去中心化、多样化和冗余设计来增强系统韧性。

未来,零知识证明链上随机数去中心化身份验证等新技术有望为预言机安全提供新的解决方案。同时,行业监管和保险机制的完善,也将为DeFi用户提供更多保护。2026年的安全危机,或许正是推动DeFi安全标准升级的催化剂。

总结而言,Bonzo Lend 900万美元被盗事件不仅是一次技术漏洞的暴露,更是对整个DeFi行业信任机制的拷问。只有通过技术、治理和监管的多维协同,才能构建更加安全、可靠的去中心化金融生态。

来源:https://www.jb51.net/blockchain/1034363ailq.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜
相关攻略 相关攻略
更多