Bonzo Lend Rugi Sekitar US$9 Juta Usai Eksploitasi Oracle di Hedera

Ringkasan Pasar AI
Kerugian Bonzo Lend sebesar ~$9 juta di Hedera menyoroti risiko oracle DeFi dan verifikasi harga yang terus berlanjut setelah pembaruan SAUCE yang dimanipulasi memungkinkan peminjaman USDC dan wrapped HBAR dalam skala besar. Sementara Bonzo mengklaim kontraknya dan core Hedera tidak bersalah, insiden ini menegaskan kembali bagaimana kegagalan verifikator oracle pihak ketiga dapat dengan cepat mengganggu solvabilitas dan kepercayaan pada pool pinjaman. Latar belakang yang lebih luas berupa frekuensi eksploit yang meningkat dapat memperkuat penghindaran risiko jangka dekat di seluruh DeFi.
Level dampak
● Sedang
Aset terdampak
BTC/USDT+0.65%
Wawasan AI · BTC/USDTWawasan AI
▼ Bearish
Trade sekarang
⚠️ Wawasan yang dihasilkan AI didasarkan pada konten berita dan disediakan untuk tujuan informasi saja. Wawasan ini bukan nasihat investasi dan tidak mencerminkan pandangan BingX. Investasi melibatkan risiko. Harap trade secara bertanggung jawab.
Protokol pinjaman berbasis Hedera, Bonzo Lend, melaporkan kerugian ekonomi sekitar US$9 juta setelah penyerang memanipulasi mekanisme penetapan harga token untuk valuasi jaminan. Serangan dilakukan dengan mengutak-atik harga SAUCE yang dikirim melalui feed oracle, sehingga pelaku dapat meminjam dana dari pool likuiditas Bonzo jauh melampaui nilai riil jaminan yang disetor. Dalam laporan insiden awal yang dipublikasikan pada Sabtu, Bonzo menyebut pelaku memulai dengan menyetor 250 SAUCE sebagai agunan, yang dalam valuasi normal hanya bernilai beberapa dolar. Setelah itu, pelaku mengirim pembaruan harga yang menggelembungkan nilai SAUCE sekitar 12 orde magnitudo. Dengan harga palsu tersebut, sistem mengizinkan pinjaman sebesar 6,63 juta USDC dan 34,5 juta wrapped HBAR. Poin utama - Bonzo Lend memperkirakan dampak ekonomi sekitar US$9 juta, setelah harga SAUCE yang dimanipulasi memungkinkan overborrowing. - Akar masalah ditelusuri ke onchain oracle verifier milik Supra yang menerima pembaruan harga yang telah diubah dengan tanda tangan bernilai nol. - Bonzo menegaskan insiden ini bukan berasal dari cacat pada kontraknya sendiri maupun dari jaringan inti Hedera. - Peristiwa ini kembali menyoroti pola kegagalan yang berulang di DeFi: kelemahan oracle dapat mengubah agunan bernilai rendah menjadi "tuas" untuk menarik likuiditas. - Insiden ini mengikuti kasus serupa terkait harga agunan pada lending pool Stellar pada awal 2026. Dari setoran kecil menjadi pengurasan besar Bonzo menjelaskan eksploit berpusat pada valuasi agunan. Protokol pinjaman bergantung pada feed harga yang akurat untuk menentukan batas pinjaman atas aset yang disetor. Ketika oracle dapat dimanipulasi atau logika verifikasinya tidak memadai, pemeriksaan agunan secara praktik dapat ditembus. Menurut Bonzo, wallet penyerang menjalankan pendekatan dua langkah: (1) menyetor 250 SAUCE sebagai jaminan, lalu (2) mengirim pembaruan harga oracle yang mengklaim valuasi SAUCE jauh lebih tinggi, meningkat sekitar 12 orde magnitudo. Begitu sistem mempercayai SAUCE bernilai sangat besar, protokol mengizinkan penarikan likuiditas yang tidak sebanding dengan setoran awal. Hasilnya adalah pinjaman 6,63 juta USDC dan 34,5 juta wrapped HBAR. Kegagalan oracle verifier yang disebut menjadi pemicu Bonzo mengaitkan insiden ini dengan kelemahan pada onchain oracle verifier milik Supra. Menurut protokol, verifier menerima pembaruan harga SAUCE yang telah dimanipulasi dan membawa signature bernilai nol, sehingga feed harga dapat diperbarui tanpa validasi kriptografis yang semestinya. Bonzo juga menyatakan Supra telah mengakui masalah tersebut dan menerapkan perbaikan. Bonzo kembali menegaskan kejadian ini bukan kerentanan pada kontrak Bonzo Lend dan tidak terkait dengan jaringan dasar Hedera. Bagi pengguna dan integrator, pemisahan tanggung jawab ini penting. Logika lending dan konsensus jaringan bisa tetap stabil, tetapi komponen oracle pihak ketiga atau lapisan verifikasinya tetap dapat membuka celah keamanan yang kritis. Laporan ini juga menegaskan keamanan oracle bukan sekadar soal mengirim harga yang benar, melainkan memastikan feed autentik dan tahan manipulasi. Tekanan keamanan DeFi yang kian meningkat Insiden Bonzo muncul di tengah sorotan tajam terhadap keamanan DeFi. Cointelegraph sebelumnya melaporkan kuartal kedua menjadi kuartal dengan jumlah peretasan terbanyak berdasarkan jumlah insiden, yakni 83 eksploit dengan total sekitar US$755 juta dicuri. Dalam rincian tersebut, eksploit cross-chain bridge menyumbang US$351 juta, sementara serangan akibat kompromi administrator dan manipulasi harga token palsu mencakup 37% dari kerugian kuartalan. Data ekosistem juga menunjukkan tekanan berlanjut. Cointelegraph melaporkan total value locked (TVL) DeFi turun 39% menjadi di atas US$70 miliar pada Juni, dari sekitar US$115 miliar pada Januari. CryptoRank mencatat 121 peretasan dan kerugian sekitar US$942 juta dalam periode tersebut, mengindikasikan rangkaian insiden keamanan kemungkinan menekan kepercayaan pengguna dan mendorong keluarnya modal dari sebagian sektor. Dalam konteks ini, manipulasi agunan berbasis oracle adalah pola yang familiar: penyerang membidik mekanisme yang menjadi dasar model risiko protokol. Saat asumsi harga runtuh, perlindungan likuidasi dan faktor agunan bisa gagal melindungi penyedia likuiditas. Manipulasi harga oracle bukan hal baru: kasus serupa di Stellar Laporan Bonzo juga mengingatkan pada eksploit valuasi agunan lain yang menarget lending pool di Stellar. Pada Februari, penyerang menguras sekitar US$10 juta dari lending pool yang dikelola YieldBlox DAO setelah memanipulasi jalur harga yang dipakai untuk menilai agunan USTRY, sehingga memungkinkan pinjaman melebihi nilai riil agunan. Cointelegraph mengulas insiden tersebut dan menyoroti kemiripan metodenya: mengubah input harga yang dipercaya protokol untuk perhitungan agunan. Berulangnya pola ini menegaskan bahwa ketika ekosistem DeFi berkembang lintas chain dan jenis aset, titik lemah yang sama sering tetap muncul. Sistem yang bergantung pada harga eksternal perlu memperlakukan validasi oracle sebagai infrastruktur yang kritis bagi keamanan, bukan komponen standar. Yang perlu dipantau berikutnya Laporan insiden Bonzo menyebut penanganan cepat difokuskan pada lapisan oracle verifier, dengan Supra menyampaikan remediasi telah diterapkan. Investor dan pengembang kemungkinan akan memantau apakah perbaikan ini efektif mencegah bypass validasi signature maupun feed harga pada integrasi lain, serta apakah akan ada audit tambahan atau perubahan penyedia oracle di tengah berlanjutnya insiden keamanan DeFi.