Bonzo Lend piraté : 9 millions de dollars volés sur Hedera
Le plus grand protocole de prêt d'Hedera a perdu 9 millions de dollars le 11 juillet 2026 après une faille dans l'oracle Supra.
Bonzo Lend, principal protocole de prêt décentralisé de la blockchain Hedera, a été victime le 11 juillet 2026 d'un piratage de 9,05 millions de dollars. L'attaquant a exploité une faille de signature dans l'oracle de Supra pour manipuler le prix d'un jeton et vider les réserves du protocole.
L’essentiel
- Fait 1 : Bonzo Lend, plus grand protocole de prêt d’Hedera, a perdu 9,05 millions de dollars le 11 juillet 2026.
- Fait 2 : la TVL de Bonzo Finance a chuté de 77 % après l’attaque, selon KuCoin News.
- Fait 3 : l’attaquant a déposé seulement 250 jetons SAUCE avant de gonfler leur valeur de 12 ordres de grandeur.
- Fait 4 : 6,63 millions de USDC et 34,52 millions de wHBAR ont été empruntés frauduleusement.
- Fait 5 : plus de 5 millions de dollars ont été transférés vers Ethereum via LayerZero, selon SlowMist.
Le 11 juillet 2026, Bonzo Lend a annoncé la suspension de son protocole. En cause : une attaque d’oracle ayant permis le retrait frauduleux de 9,05 millions de dollars, selon CoinDesk et CryptoRank. L’incident touche le plus important service de prêt décentralisé bâti sur Hedera, une blockchain qui misait justement sur sa robustesse technique pour attirer les capitaux institutionnels.
Ce qui s’est passé le 11 juillet
L’attaque a visé le vérificateur d’oracle on-chain fourni par Supra, partenaire technique de Bonzo Lend pour la tarification des actifs. Selon Bonzo Finance Labs et CoinTelegraph, le pirate a exploité une faille de signature dite « à zéro » dans ce vérificateur. Concrètement, il a réussi à faire valider par le système une donnée de prix falsifiée sans authentification correcte.
L’opération a démarré avec un dépôt minime : 250 jetons SAUCE, d’une valeur de quelques dollars seulement, selon CryptoFalka. En exploitant la faille, l’attaquant a fait gonfler la valeur affichée de ce jeton de 12 ordres de grandeur, selon CoinTelegraph. Ce prix artificiellement surévalué a ensuite servi de garantie pour emprunter des sommes bien réelles au protocole.
Comment la faille a permis de vider les réserves
Avec cette garantie fictive, le pirate a pu retirer 6,63 millions de USDC et 34,52 millions de HBAR enveloppés (wHBAR) des pools de liquidité de Bonzo Lend, selon CryptoFalka. Une partie substantielle des fonds volés, plus de 5,25 millions de dollars, a ensuite quitté l’écosystème Hedera pour être transférée vers la blockchain Ethereum via le protocole d’interopérabilité LayerZero, selon SlowMist et TradingView. Ce transfert vers une autre chaîne rend le traçage et la récupération des fonds nettement plus complexes pour les enquêteurs et pour Bonzo Finance.
Une chute de 77 % de la valeur verrouillée
Les conséquences ont été immédiates sur les indicateurs du protocole. La valeur totale verrouillée (TVL) de Bonzo Lend s’est effondrée de 77 % dans les heures suivant l’attaque, selon KuCoin News et CoinDesk. L’onde de choc a dépassé le seul protocole : la TVL globale de l’ensemble du réseau Hedera a reculé de près de 40 % en 24 heures, selon Blockonomi. Ce chiffre traduit un mouvement de retrait massif des utilisateurs, échaudés par l’incident, sur d’autres applications DeFi hébergées sur la même blockchain.
La réponse de Supra et de Bonzo Finance
Face à l’ampleur du piratage, Supra a rapidement identifié le problème de validation en cause et déployé un correctif sur son vérificateur d’oracle, selon Tech in Asia. De son côté, Bonzo Finance a suspendu l’ensemble de son protocole par précaution, le temps d’évaluer les dégâts. L’équipe a tenu à préciser que la vulnérabilité exploitée ne provenait ni de ses propres contrats intelligents, ni du réseau principal de Hedera, mais bien du composant tiers fourni par Supra, selon Bonzo Finance Labs et Hedera. Cette distinction technique est importante : elle vise à limiter la défiance envers l’infrastructure Hedera elle-même, tout en reconnaissant la fragilité du protocole de prêt face à un composant externe.
Contexte dans l’écosystème DeFi
Cet incident s’inscrit dans une série récurrente de piratages liés aux oracles, ces services chargés de fournir aux protocoles de finance décentralisée des données de prix fiables depuis l’extérieur de la blockchain. Une manipulation réussie d’un oracle permet, comme ici, de créer artificiellement de la valeur ou de sous-évaluer une garantie, sans toucher directement au code du protocole visé. Pour Hedera, réseau qui cherchait à se positionner comme alternative institutionnelle plus sécurisée que d’autres blockchains, la chute de 40 % de la TVL globale en une journée constitue un revers notable. Bonzo Lend représentait jusqu’ici la brique de prêt de référence de cet écosystème encore restreint comparé à des chaînes comme Ethereum ou Solana.
Et maintenant
Le protocole reste suspendu à ce stade, et le montant exact des fonds encore récupérables n’a pas été communiqué. L’affaire illustre une fois de plus la dépendance des protocoles de prêt décentralisé à des briques techniques externes, dont la moindre faille peut suffire à vider des réserves construites sur plusieurs mois.