Bonzo Finance di Hedera Kehilangan $9 Juta Akibat Manipulasi Oracle

Protokol lending Bonzo Finance yang beroperasi di jaringan Hedera mengonfirmasi kerugian sekitar $9 juta setelah penyerang berhasil memanipulasi price feed oracle pihak ketiga untuk meminjam dana jauh melebihi nilai kolateral sebenarnya.

Modus serangan tergolong klasik namun efektif: penyerang men-deposit hanya 250 token SAUCE (bernilai beberapa dolar saja) sebagai jaminan. Mereka kemudian mendorong harga SAUCE di oracle feed hingga terinflasi sekitar dua belas orde besaran dari nilai wajarnya. Dalam hitungan detik setelah manipulasi berhasil, penyerang meminjam sekitar 6,6 juta USDC dan 34,5 juta Wrapped HBAR menggunakan kolateral yang nyaris tak bernilai tersebut.

Menariknya, ada wallet kedua yang turut meminjam sekitar $1 juta dalam window waktu yang sama. Pemilik wallet ini kemudian mengidentifikasi diri sebagai whitehat responder dan menyatakan niat mengembalikan dana yang dipinjam.

Peneliti keamanan blockchain, Specter, awalnya melacak pergerakan dana yang dibridging ke Ethereum via LayerZero dan dikonversi dari WBTC ke ETH, sebelum mengklarifikasi bahwa sumber eksploitasi sebenarnya adalah Bonzo Finance, bukan lapisan jaringan Hedera itu sendiri.

PeckShield turut mengonfirmasi wallet penyerang awalnya didanai 1 ETH yang berasal dari Tornado Cash, pola umum untuk menyamarkan jejak pendanaan awal sebelum eksekusi serangan.

Insiden ini menambah daftar peretasan DeFi bulan Juli 2026, yang menurut DefiLlama telah mencatat kerugian gabungan lebih dari $28 juta dari tiga insiden berbeda, termasuk eksploitasi $6 juta di Summer.fi dan serangan governance $20 juta terhadap BonkDAO. Laporan SlowMist mencatat insiden keamanan meningkat sekitar 50% pada semester pertama 2026, meski total kerugian menurun.

Kasus ini kembali menegaskan pola lama dalam DeFi: oracle yang bergantung pada likuiditas tipis atau sumber harga tunggal tetap menjadi titik lemah favorit penyerang, terlepas seberapa matang infrastruktur jaringan dasarnya.