Bonzo Lend预言机漏洞遭利用,Hedera最大借贷协议单次被盗900万美元
Bonzo Lend预言机漏洞遭利用事件已成为2025年DeFi领域损失最惨重的攻击之一——攻击者通过操控价格数据,一次性抽干了该协议约77%的TVL(总锁仓量)。这次攻击之所以让圈内人心惊,不只是因为金额大,更因为攻击者几乎以「外科手术」级别的精准度,把一个被信任的预言机验证器变成了收割工具。
事件经过:攻击者是怎么操作的
此次漏洞的核心,是Supra链上预言机验证器的一个严重缺陷——而Bonzo Lend正是依赖这套机制来给抵押资产定价的。据Cointelegraph报道,攻击者通过向Supra验证器喂入被篡改的价格数据,人为拉高了SAUCE代币的抵押估值,而验证器对这条「问题数据」毫无察觉、照单全收。SAUCE被虚假拉盘后,攻击者随即以远超真实市值的抵押物借出了约900万美元,随后迅速跑路。
这套操作流程在DeFi圈里并不陌生——虚抬抵押物价值、超额借款、在清算触发前出金——但这次的切入点却格外值得警惕:漏洞不在Bonzo自身的智能合约里,而是出在预言机基础设施层。这让所有借贷协议都不得不重新审视一个问题:我们到底能有多信任外部价格源?
The Block还披露了一个颇具戏剧性的细节:有一个第二钱包通过同一漏洞转走了约100万美元,但随后在链上公开表明自己是「白帽黑客」,承诺会归还资金。这种在攻击进行时「顺手救场」的白帽行为,在DeFi圈越来越常见——有点像是「见义勇为」,也有点像是在和黑帽赛跑抢资产——但这也侧面说明,在那段时间窗口内,这个漏洞的攻击面究竟有多大。
CoinDesk则用更直白的数字揭示了整体损失:Bonzo Lend的TVL蒸发了77%。这个数字不只代表财务损失,更意味着用户对该协议乃至整个Hedera DeFi生态的信心可能就此崩塌。

为什么重要:预言机风险是DeFi行业长期未解的「历史债」
Bonzo Lend预言机漏洞遭利用,并非孤立的技术事故,而是DeFi从未真正解决的一类系统性漏洞的再次爆发。借贷协议的生死,完全依赖价格数据的准确性。一旦这些数据能在验证器层面被操控,系统里所有的抵押比率和清算阈值都会变成一纸空文。攻击者根本不需要破解Bonzo的智能合约,只需要让Supra的验证器「点个头」就够了。
对Hedera而言,这次事件是一次严重的声誉打击。这条公链一直把「企业级、高性能、机构信任」作为对标以太坊的核心卖点。旗舰借贷协议被900万美元的漏洞攻击,对于Hedera一直在争取的机构客群来说,这个信号再糟糕不过。
对于广大DeFi用户,这次事件的警示再清晰不过:做协议安全尽职调查,现在必须把预言机这一层也纳入进来,而不是只看借贷合约本身。在往任何借贷协议里存资产之前,老玩家通常会查审计历史、清算参数——现在还得加上一条:用的是哪家预言机,这家预言机怎么验证价格数据。安全检查清单又变长了。
如果你正在筛选DeFi相关平台或链上交易工具,可以参考我们的交易所评测与横向对比,帮助你找到安全记录更好、风险披露更透明的平台。
市场背景:宏观谨慎情绪下,DeFi的寒气更刺骨
这次攻击爆发的时机,恰好是加密市场整体风险偏好偏低的阶段。比特币现报$63,954,24小时微跌0.21%,震荡盘整、多头没有什么说服力。以太坊报$1,804,小涨0.51%,这点绿色完全无法抵消板块整体的谨慎氛围。Solana报$76.59,跌1.39%,仍在从近期高点持续回落。
在这种横盘偏弱的市场环境下,高关注度的DeFi漏洞事件往往会放大恐慌情绪,而不是被当作孤立事故消化掉。牛市里或许还能捏着鼻子承受协议风险,但宏观本就疲软的时候,用户会更快选择撤流动性、求稳。对于Bonzo Lend剩余的存款用户来说,这个时间点真的很难熬。
这次攻击还踩在了Hedera原生代币HBAR正试图重建上涨动能的节骨眼上。网络最知名借贷平台爆出重大漏洞,这种级别的负面新闻,足以让之前积累的涨势一夜清零。

各大媒体怎么说:同一事件的三个解读角度
不同媒体对Bonzo Lend事件的报道侧重点差异明显,综合来看能拼出更完整的图景。
CoinDesk:着眼网络层面的冲击
CoinDesk以「TVL损失77%」作为切入点,把这件事定性为对Hedera整条网络的震动,而不仅仅是Bonzo一个协议的问题。他们的叙事框架更多指向Hedera作为DeFi目的地的可信度,而非技术细节——这个视角对机构读者和正在考虑在该生态部署的潜在合作伙伴更具参考价值。
Cointelegraph:深挖预言机机制
Cointelegraph则深入技术根源,把Supra预言机验证器作为攻击核心来解剖。他们的报道把这件事首先定性为「预言机事件」,其次才是「Bonzo事件」——从行业视角来看,这个框架或许更值得重视。正如Cointelegraph所描述的:
「攻击者通过Supra链上预言机验证器的漏洞,虚抬SAUCE抵押物价值,借走了900万美元。」
这句话几乎就是此类攻击的操作手册——也是对所有使用类似基础设施的协议发出的警告。
The Block:白帽介入的支线剧情
The Block是唯一一家详细报道「竞争钱包」事件的媒体——那个转走约100万美元后自称白帽、承诺归还的神秘参与者。这个细节让整个事件的质感完全不同:它说明有不止一个精明的链上玩家在实时盯着这次漏洞,而且并非所有人都是纯粹的恶意攻击者。那笔「白帽资金」最终是否真的归还,将是检验这番声明含金量的关键数据点。
老韭菜的结论:预言机风险必须成为你尽调清单上的独立一项
站在资深交易者的角度,Bonzo Lend预言机漏洞遭利用这件事,是一堂关于DeFi基础设施信任必须逐层建立、不能想当然的课。借贷合约通过了审计不等于万事大吉——预言机提供商同样需要被独立评估。任何借贷平台,如果说不清楚自己的价格数据是怎么验证的,在你存入资产之前都应该打个大大的问号。正在同时使用DeFi平台和中心化交易所的朋友,建议多关注最新加密安全与市场动态,在新型攻击手法蔓延到你的仓位之前提前预判风险。
