Cargando precios...

Bonzo Lend pierde $9 millones en exploit de oráculo en Hedera: cómo la manipulación de precios drenó liquidez del protocolo DeFi

Arturo Trenard Arturo Trenard · · 4 min de lectura

Bonzo Lend pierde $9 millones en exploit de oráculo en Hedera: cómo la manipulación de precios drenó liquidez del protocolo DeFi

El protocolo de préstamos Bonzo Lend, basado en la red Hedera, perdió aproximadamente 9 millones de dólares tras un exploit de oráculo que permitió a un atacante manipular el precio de un token de bajo valor para drenar liquidez del pool de préstamos.

Según el informe preliminar publicado por Bonzo Finance el sábado, el atacante depositó únicamente 250 tokens SAUCE —con un valor real de pocos dólares— y logró inflar su precio en aproximadamente 12 órdenes de magnitud. Con el valor artificialmente alto, el atacante pudo retirar 6,63 millones de USDC y 34,5 millones de wrapped HBAR (wHBAR) del protocolo.

El incidente evidencia cómo los fallos en los oráculos pueden convertir colateral de bajo valor en una herramienta para drenar grandes cantidades de liquidez, incluso cuando la aplicación y la red subyacente funcionan correctamente.

El ecosistema DeFi en 2026: cifras de seguridad

El ataque a Bonzo Lend se produce en un contexto de creciente inseguridad en el sector de las finanzas descentralizadas. Según datos de CryptoRank, el segundo trimestre de 2026 fue el período más hackeado por número de incidentes, con 83 exploits registrados. Las pérdidas totales durante ese trimestre alcanzaron aproximadamente 755 millones de dólares.

Los exploits de puentes cross-chain representaron 351 millones de dólares en pérdidas, mientras que los ataques de administrador comprometido y manipulación de precios falsos constituyeron el 37% de las pérdidas trimestrales.

En lo que va de 2026, CryptoRank ha registrado 121 incidentes de seguridad en el sector DeFi, con pérdidas acumuladas de aproximadamente 942 millones de dólares. El total value locked (TVL) del sector cayó un 39%, pasando de aproximadamente 115 mil millones de dólares en enero a unos 70 mil millones en junio.

Los repetidos incidentes de seguridad probablemente pesaron en la confianza de los inversores y reforzaron las salidas de capital del sector.

Cómo ocurrió el ataque a Bonzo Lend

El informe de Bonzo Finance detalla que el atacante depositó 250 tokens SAUCE como colateral en el protocolo de préstamos. Posteriormente, envió una actualización de precio que infló el valor del token en aproximadamente 12 órdenes de magnitud. El oráculo on-chain de Supra aceptó la manipulación.

“El incidente ilustra cómo los fallos de oráculo pueden convertir colateral de bajo valor en una herramienta para drenar grandes cantidades de liquidez”, señaló Bonzo en su informe.

La compañía atribuyó el incidente a un fallo en el verificador de oráculo on-chain de Supra, que aceptó un precio manipulado de SAUCE con una firma puesta a cero. Con el precio artificialmente alto, el atacante pudo tomar prestados activos muy por encima del valor real del colateral.

Supra reconoció el problema y desplegó una corrección. Bonzo enfatizó que el exploit no fue resultado de una vulnerabilidad en sus contratos inteligentes ni en la red central de Hedera.

Antecedentes: exploit similar en Stellar

El ataque a Bonzo Lend guarda similitudes con un incidente ocurrido en febrero de 2026 en la red Stellar. En aquella ocasión, atacantes drenaron aproximadamente 10 millones de dólares de un pool de préstamos gestionado por YieldBlox DAO.

El método empleado fue la manipulación de la ruta de precios utilizada para valorar el colateral USTRY, lo que permitió tomar prestados activos más allá del valor real del token.

La diferencia principal entre ambos exploits radica en el mecanismo empleado: mientras Bonzo utilizó una actualización directa de precio aceptada por el oráculo, YieldBlox manipuló la ruta de precios utilizada para valorar el colateral.

Implicaciones para la seguridad en DeFi

El incidente de Bonzo Lend refuerza la preocupación sobre la seguridad de los oráculos, que siguen siendo un punto crítico de vulnerabilidad en los protocolos DeFi. La manipulación de precios de colateral puede ocurrir incluso cuando la aplicación y la red subyacente funcionan correctamente.

Los expertos señalan que los protocolos deben implementar salvaguardas adicionales contra actualizaciones de precios no validadas. El incidente se suma al creciente escepticismo sobre la seguridad de los protocolos DeFi, en un contexto donde el debate sobre la seguridad del sector se ha intensificado tras un aumento de ataques en abril.

El caso de Bonzo Lend representa el octavo exploit significativo en lo que va de 2026 que utiliza manipulación de precios de oráculo como vector de ataque principal, según los registros de CryptoRank.

Click to rate this post!
[Total: 0 Average: 0]