Protocolo de empréstimos Bonzo Lend, baseado na Hedera, perdeu aproximadamente US$ 9 milhões após um invasor manipular o preço dos tokens SAUCE usados como garantia, permitindo que a conta tomasse empréstimos muito acima do valor depositado. Em um relatório preliminar do incidente publicado no sábado, a Bonzo atribuiu a violação a uma falha no verificador de oráculo on-chain da Supra, que aceitou um preço manipulado de SAUCE com uma assinatura zerada. O exploit ocorreu no segundo trimestre, que se tornou o trimestre mais explorado já registrado, com 83 incidentes e cerca de US$ 755 milhões roubados em plataformas de finanças descentralizadas.
O invasor depositou 250 tokens SAUCE, que valiam apenas alguns dólares, antes de enviar uma atualização de preço que inflou o valor do token em cerca de 12 ordens de magnitude. Em seguida, a carteira tomou emprestados 6,63 milhões de USDC e 34,5 milhões de HBAR tokenizado (wrapped) a partir do pool de empréstimos. Assim que o oráculo aceitou o preço inflado, o depósito de baixo valor do invasor pareceu sustentar uma capacidade de empréstimo na casa dos milhões.
A Bonzo afirmou que o incidente não foi causado por uma vulnerabilidade nos contratos inteligentes do Bonzo Lend ou na rede principal (core) da Hedera. O protocolo disse que a Supra reconheceu o problema e implantou uma correção.
Falhas de oráculo são especialmente perigosas em empréstimos descentralizados porque os valores das garantias determinam quanto os usuários podem tomar emprestado. Se um protocolo aceitar um preço falso, ele pode tratar uma garantia quase sem valor como segurança suficiente para grandes empréstimos. O invasor não precisa quebrar diretamente o pool de empréstimos—ele só precisa convencer o protocolo de que a garantia vale muito mais do que seu valor real de mercado.
O depósito inicial de SAUCE valia apenas uma pequena quantia, mas o preço manipulado o transformou em uma fonte aparente de grande poder de empréstimo. O pool de empréstimos então liberou ativos líquidos contra uma garantia que não conseguia sustentar a dívida. Muitos protocolos focam em auditorias de contratos inteligentes e lógica de aplicação, mas mercados de empréstimos só são tão seguros quanto os sistemas de precificação em que se baseiam.
O segundo trimestre teve 83 exploits e cerca de US$ 755 milhões roubados. Exploits de pontes entre cadeias (cross-chain) responderam por US$ 351 milhões, enquanto ataques a administradores comprometidos e manipulação de preço de tokens falsos representaram 37% das perdas do trimestre. A CryptoRank registrou 121 hacks e cerca de US$ 942 milhões em perdas no período.
O capital também tem saído do setor. O valor total bloqueado (TVL) do DeFi caiu 39%, para mais de US$ 70 bilhões em junho, ante cerca de US$ 115 bilhões em janeiro. Incidentes de segurança recorrentes provavelmente pesaram na confiança dos usuários e reforçaram a saída de capital.
Em fevereiro, invasores drenaram aproximadamente US$ 10 milhões de um pool de empréstimos gerido por um DAO da YieldBlox após manipularem a trajetória de preço usada para valorar a garantia em USTRY. Essa manipulação permitiu que eles tomassem emprestados ativos além do valor real do token. A semelhança é importante porque mostra que fraquezas do oráculo e do caminho de preço não estão isoladas a uma única cadeia ou a um único mercado de empréstimos.
Qualquer protocolo que aceite valores de garantia de sistemas externos deve se proteger contra preços falsos, feeds desatualizados, falhas de assinatura, liquidez baixa e caminhos de roteamento manipulados. Verificação de oráculo, limites de garantia, circuit breakers e mecanismos rápidos de pausa são defesas centrais contra ataques que transformam pequenos depósitos em grandes reivindicações sobre a liquidez.
O que causou a perda de US$ 9 milhões da Bonzo Lend?
A Bonzo Lend perdeu aproximadamente US$ 9 milhões após um invasor manipular o preço dos tokens SAUCE usados como garantia. O invasor depositou 250 tokens SAUCE, que valiam apenas alguns dólares, e então enviou uma atualização de preço que inflou o valor do token em cerca de 12 ordens de magnitude, permitindo a captação (borrowing) de 6,63 milhões de USDC e 34,5 milhões de HBAR tokenizado (wrapped). A Bonzo atribuiu o incidente a uma falha no verificador de oráculo on-chain da Supra, que aceitou um preço manipulado de SAUCE com uma assinatura zerada.
Quantos exploits de DeFi ocorreram no segundo trimestre?
O segundo trimestre registrou 83 exploits, com cerca de US$ 755 milhões roubados nas plataformas de finanças descentralizadas. Exploits de pontes entre cadeias (cross-chain) responderam por US$ 351 milhões do total, enquanto ataques a administradores comprometidos e manipulação de preço de tokens falsos representaram 37% das perdas do trimestre. A CryptoRank registrou 121 hacks e cerca de US$ 942 milhões em perdas no mesmo período.
Notícias relacionadas
Agentes de IA da Ethereum Foundation descobrem falha CVE-2026-34219 no código do libp2p
Ledger Donjon revela vulnerabilidade na redefinição de senha do cartão Tangem por ataque a laser
Immunefi: Nos primeiros seis meses de 2026, ocorreram 207 ataques de hackers em criptomoedas, com um prejuízo de US$ 972 milhões
Trader perde US$ 1 milhão em ataque de phishing usando Permite2 do Uniswap