
たった数百円で14億円を抜き取る──ヘデラ系DeFi「ボンゾ・レンド」を襲ったオラクル悪用の闇
ヘデラ基盤の融資プロトコル「ボンゾ・レンド」で、約900万ドル、日本円にして約14億6000万円が流出した。攻撃者は担保に使われるSAUCEトークンの価格を異常につり上げ、実際の預け入れ額をはるかに超える資産を借り出していた。

ヘデラ基盤の融資プロトコル「ボンゾ・レンド」が、オラクルの欠陥を突かれ、約900万ドル、日本円にして約14億6000万円を失った。
手口は、実にあきれたものだった。攻撃者は担保として使われるSAUCEトークンの価格を操作し、預け入れた価値をはるかに上回る資産を借り出したのである。
ボンゾが土曜日に公表した暫定的なインシデント報告によれば、攻撃者が最初に入金したのは、わずか250SAUCE。価値にして数ドル、つまり数百円程度にすぎなかった。
ところがその後、攻撃者は価格更新を送信し、SAUCEの評価額をおよそ12桁も膨らませた。こうして、ほとんど無価値に近い担保が、システム上では巨額の担保として認識されることになった。
その結果、攻撃者のウォレットは融資プールから663万USDC、日本円で約10億7000万円相当と、3450万ラップドHBARを借り出した。
この事件が浮き彫りにしたのは、オラクルの失敗がいかに危険かという点だ。アプリケーション本体や基盤ネットワークが設計通りに動いていたとしても、外部価格情報を取り込むオラクルに穴があれば、ほとんど価値のない担保が、プロトコルから巨額の流動性を抜き取るための凶器に変わってしまう。
ボンゾは今回の原因について、スープラのオンチェーン・オラクル検証機能に欠陥があったと説明している。この検証機能が、操作されたSAUCE価格を受け入れてしまったというのだ。
問題の価格データには「ゼロ化された署名」が付いていた。これは、中身のない、あるいは空のデジタル署名を意味する。実質的には、既存の署名を消し去るような状態だった。
ボンゾによれば、スープラ側はこの問題を認め、すでに修正を実施したという。一方でボンゾは、今回の事件はボンゾ・レンドのスマートコントラクトや、ヘデラの中核ネットワークに存在した脆弱性ではないとも強調している。

Estimated economic impact of the incident. Source: Bonzo Finance
DeFiハッキング、止まらぬ業界への圧力
今回の事件は、2026年に相次いでいる分散型金融、いわゆるDeFiプロトコルを狙った攻撃の一つにすぎない。
第2四半期は、発生件数で見ると過去最悪のハッキング四半期となっていた。エクスプロイト件数は83件、盗まれた金額は約7億5500万ドル、日本円で約1223億円に達した。
なかでもクロスチェーン・ブリッジを狙った攻撃では、3億5100万ドル、日本円で約569億円が奪われた。また、管理者権限の乗っ取りや偽のトークン価格操作による攻撃が、四半期損失の37%を占めていた。
2026年、DeFi全体の預かり資産を示すTVLは、1月時点の約1150億ドル、日本円で約18兆6000億円から、6月には700億ドル超、日本円で約11兆3000億円超まで落ち込んだ。下落率は39%に及ぶ。
クリプトランクは、この期間に121件のハッキングと、約9億4200万ドル、日本円で約1527億円の損失を記録した。相次ぐセキュリティ事件がユーザーの信頼を揺るがし、資金流出に拍車をかけた可能性が高いとしている。
ボンゾの事件は、ステラ上で起きた類似の担保価格操作事件にも続くものだ。
2月には、攻撃者がイールドブロックスDAO管理の融資プールから約1000万ドル、日本円で約16億2000万円を抜き取った。この時も、USTRY担保の評価に使われる価格経路が操作され、トークンの実際の価値を超える資産の借り入れが可能になっていた。

