重點摘要:
- 攻擊者利用 Supra 預言機驗證器漏洞,人為抬高 SAUCE 代幣抵押品價值。
- 此次攻擊從 Hedera 網路上的 Bonzo Lend 竊取 905 萬美元。
- 2026 年第二季成為史上被攻擊最嚴重的季度,共發生 83 起漏洞事件,損失金額達 7.55 億美元。
重點摘要:

一名攻擊者利用 Supra 預言機驗證漏洞,人為抬高 Hedera 上 SAUCE 代幣的抵押品價值,最終從 Bonzo Lend 平台竊取 905 萬美元。
Bonzo Lend 在其初步事件報告中表示:「該攻擊者先存入 250 顆價值極低的 SAUCE 代幣,隨後提交虛假的價格更新,使得該代幣兌 HBAR 的價值被大幅拉高。」
該漏洞存在於 Supra 的鏈上預言機驗證器(即確認所回報價格是否有效的邏輯機制)之中,而非集中式價格預言機的問題。報告指出,攻擊者透過操縱該驗證流程,將被高估的 SAUCE 作為抵押品,並借出遠高於該代幣實際價值的資產。
此次漏洞事件再度為 DeFi 安全問題積累新的案例。根據 CryptoRank 數據,第二季已成為史上被攻擊次數最多的季度,共發生 83 起漏洞事件,總損失約 7.55 億美元。其中,跨鏈橋攻擊佔 3.51 億美元,而管理員帳號遭入侵與偽造代幣價格操縱攻擊則佔該季度總損失的 37%。
Bonzo 事件發生前,Stellar 網路上也出現類似的抵押品定價漏洞。根據報導,攻擊者在今年 2 月利用操縱 USTRY 抵押品估值所用價格路徑的方式,從 YieldBlox DAO 管理的借貸資金池中竊取約 1,000 萬美元。
CryptoRank 數據顯示,所有公鏈上的 DeFi 總鎖倉價值(TVL)已從 1 月的約 1,150 億美元,下跌 39% 至 6 月的約 700 億美元。該研究機構記錄在此期間共發生 121 起駭客攻擊,損失約 9.42 億美元,並指出連串的安全事件可能打擊了用戶信心,並加劇資金外流。
Bonzo Lend 尚未公布修補該漏洞的時間表,也未說明對受影響用戶的補償計畫。該協議的沉默令流動性提供者與存款人無法確定資金是否仍面臨風險,與此同時,Hedera 整體 DeFi 生態系統正密切關注是否有蔓延跡象。
本文僅供資訊參考,不構成投資建議。