D’après le rapport d’incident de Bonzo Lend, le protocole a perdu environ 9,05 millions de dollars le 11 juillet après qu’un attaquant a exploité une faille du vérificateur d’oracle tiers de Supra. Une mise à jour de prix signée avec une signature entièrement vidée a passé la validation, gonflant le prix de SAUCE d’environ douze ordres de grandeur, passant d’environ 0,2 HBAR à un chiffre suivi de trente zéros. En utilisant cette garantie artificiellement surévaluée, l’attaquant a vidé les pools de prêt du protocole.
Un deuxième portefeuille a exploité la même vulnérabilité pour retirer environ 1 million de dollars, mais s’est ensuite identifié comme un intervenant « white-hat » et s’est engagé à restituer les fonds. Hedera a confirmé que l’incident était isolé à la couche d’oracle externe, tandis que Supra a reconnu la faille et a déployé un correctif sur son contrat sur le réseau principal Hedera. La valeur totale immobilisée de Bonzo Lend est passée d’environ 14,3 millions de dollars le 10 juillet à 3,2 millions de dollars d’ici le 12 juillet.