Bonzo Lend, un protocolo de préstamos descentralizados que opera en la red Hedera, experimentó una importante brecha de seguridad que resultó en una pérdida de aproximadamente $9 millones. El ataque explotó una vulnerabilidad en el mecanismo del oráculo del protocolo, permitiendo al perpetrador extraer fondos que superaban con creces el valor real de la garantía.
El atacante explota el oráculo para inflar el valor colateral
Según una investigación inicial, el incidente comenzó cuando el atacante depositó solo 250 unidades de SAUCE, un token que representa solo unos pocos dólares. Poco después, el atacante envió una actualización de precio manipulada que amplificó el valor de SAUCE en aproximadamente 12 órdenes de magnitud. Aprovechando el valor inflado, el atacante tomó prestados 6.63 millones de USDC y 34.5 millones de HBAR envueltos del fondo de préstamos de Bonzo.
La manipulación se dirigió a la dependencia del protocolo de los datos de precios en la cadena, transformando un colateral menor en una herramienta para desviar millones de su fondo de liquidez.
Mini diccionario: Oracle, en blockchain y DeFi, se refiere a un sistema que proporciona datos externos, como los precios de los activos, a contratos inteligentes, permitiéndoles sus funciones automatizadas.
Bonzo Finance atribuyó la brecha a un fallo en el verificador de oráculos en la cadena de Supra, que permitió una actualización de precio de SAUCE manipulada con una firma anulada. Supra, la empresa que proporciona el oráculo afectado, ha reconocido el problema e implementado una solución.
Protocolo y red no comprometidos directamente
Bonzo Finance declaró que el exploit no se originó por vulnerabilidades en sus propios contratos inteligentes ni en la red subyacente Hedera. En cambio, el problema surgió de cómo el sistema de oráculo del protocolo verificaba los datos de precios externos, haciéndolo susceptible a la manipulación.
Bonzo es un protocolo de préstamos de finanzas descentralizadas (DeFi) diseñado para permitir a los usuarios suministrar activos como garantía y tomar prestado contra ellos en la blockchain de Hedera. Hedera es una plataforma de libro mayor distribuido público centrada en aplicaciones descentralizadas rápidas y seguras.
Protocolos DeFi enfrentan amenazas de seguridad crecientes
Este exploit contribuye a un número creciente de ataques dirigidos a protocolos DeFi en 2026. El segundo trimestre del año vio un récord de 83 exploits, con fondos robados que alcanzaron alrededor de $755 millones. Los exploits de puentes entre cadenas fueron responsables de $351 millones, mientras que los ataques que involucraron administradores comprometidos y precios de tokens manipulados comprendieron el 37% de las pérdidas trimestrales.
| Categoría | Pérdidas Q2 2026 |
|---|---|
| Exploits de puentes entre cadenas | $351 millones |
| Administrador comprometido & manipulación de precios | 37% de las pérdidas totales |
| Exploits DeFi totales | $755 millones (83 incidentes) |
En general, el valor total bloqueado (TVL) de DeFi cayó un 39% en 2026, disminuyendo de alrededor de $115 mil millones en enero a más de $70 mil millones para junio, según la firma de investigación CryptoRank. La firma reportó 121 hackeos durante este período, con pérdidas estimadas de $942 millones, indicando que los incidentes de seguridad recurrentes continuaron minando la confianza de los usuarios y provocando salidas de capital.
Incidentes similares en el espacio DeFi
El exploit de Bonzo Lend sigue a un ataque comparable en el grupo de préstamos de YieldBlox DAO en la red Stellar a principios de este año. Los atacantes en ese caso manipularon la ruta de precios utilizada para valorar el colateral USTRY, drenando aproximadamente $10 millones después de tomar prestados activos más allá del valor real del token.
Estos incidentes destacan los desafíos persistentes relacionados con los oráculos de precios y las fuentes de datos externas dentro de los sistemas de finanzas descentralizadas, que siguen siendo objetivos para explotaciones sofisticadas a pesar de los avances en la seguridad de los contratos inteligentes y la infraestructura blockchain.


