HederaのBonzo Lend流出事件:オラクル脆弱性が露呈したDeFiの「信頼の連鎖」

Hederaエコシステムの主要プロトコル「Bonzo Lend」を襲った900万ドルの流出劇は、単なる一プロジェクトの失策に留まらず、DeFiの根幹を支える「オラクル・ベリファイア」の構造的限界を浮き彫りにしました。

本稿の解析ポイント

  • 低流動性ペアを標的としたSupraオラクルの価格検証プロセスにおける致命的な欠陥
  • Hedera DeFi全体のTVLへの打撃と、投資家心理に与える長期的なパラダイムシフト
  • 「監査済みコード」の過信を排し、市場操作耐性を評価するための具体的な資産防衛策

本稿では、複雑なオンチェーンデータと過去のインシデント事例を基に、Crypto-Naviの専門チームが独自に解析した結果を報告します。

1. 技術的深掘り:なぜ「Supra」は操作を許したのか

今回の攻撃の本質は、Bonzo Lendが価格参照元として全面的に依存していた「Supraオラクル」の検証メカニズムにあります。攻撃者はまず、低流動性の資産ペアを利用して、DEX(分散型取引所)上の価格を意図的に釣り上げました。通常、こうした異常値はオラクルのバリデーションによって弾かれるべきものですが、Supraのベリファイアはこの操作されたデータを「正当なアップデート」として受理してしまったのです。

これは、オラクルがデータの「鮮度(Liveness)」を過度に優先するあまり、データの「整合性(Correctness)」や「市場操作耐性」のチェックを軽視した結果と言えます。攻撃者は、この認識の齟齬を突き、膨張した資産評価額を担保に、プロトコルから巨額の主要資産(HBAR等)を借り入れ、そのまま逃走しました。

流出資産の構成と回収状況

カテゴリー 詳細 現在のステータス
総流出推定額 約900万ドル オンチェーン追跡継続中
ホワイトハット回収分 約100万ドル 返還に向けた合意済み
主要な被害資産 HBAR、流動性ステーキングトークン エコシステム全体の流動性に影響
根本原因 Supra Verifierによる操作済み価格の受理 アップデートと検証の見直しが必要

2. 多角的な洞察:市場への真のインパクト

【市場心理と価格相関】

この事件を受け、市場はHederaネットワーク自体の脆弱性ではなく、特定のインフラコンポーネントである「オラクル」の実装ミスとして事態を捉えています。しかし、Bonzo LendはHedera DeFiにおける主要なTVL(Total Value Locked)の担い手であったため、短期的なHBAR価格への下押し圧力は避けられません。現在、投資家の関心は、Chainlinkに代表される老舗オラクルと、Supraのような新興オラクルとの「信頼の格差」に再び向けられています。

【歴史的比較:Mango Markets事件との相似】

本件は、2022年にSolanaで発生した「Mango Markets事件」と構造的に酷似しています。いずれも、低流動性資産の価格を操作し、その「虚像の価値」を担保に本物の資産を抜き取る手法です。この歴史が繰り返される事実は、「オラクルが提供するデータが技術的に正確であっても、参照元の市場価格そのものが操作可能であれば、プロトコルは破綻する」というDeFiの鉄則を再認識させます。

参考:Bonzo Lend 公式声明(英語)

【リスクと機会の再定義】

  • リスク: Hedera上の他のプロトコルでも同様のオラクル構成を採用している場合、連鎖的な攻撃を受ける「ドミノ倒し」のリスクが残存しています。
  • 機会: この淘汰を経て、より堅牢な「多重オラクル制」や「価格偏差回路(Circuit Breaker)」を標準装備するプロジェクトが選別され、中長期的にエコシステムの質が向上する契機となります。

3. 投資家が取るべき「次の一手」

資産を守り、不測の事態で利益を確保し続けるためには、以下の基準を用いたポートフォリオの再評価が急務です。

  • オラクルの多重化(Redundancy)の確認: 単一のオラクル、特に市場実績の浅い新興プロトコルに依存していないか、ドキュメントを精査してください。
  • 担保資産の流動性チェック: 自身が預け入れている、あるいは担保としている資産のDEXにおける流動性が極端に低くないか。操作コストが低い資産を扱うプロトコルは避けるべきです。
  • プロトコルの緊急停止機能の有無: 異常な価格変動を検知した際に、システムが自動的に取引を停止する仕組みがあるかを確認してください。

編集部による考察と今後の展望

今回の事件は、DeFiの最大の強みである「Composability(構成可能性)」が、同時に最大の脆弱性であることを改めて知らしめました。Supraという外部インフラのわずかな「検証の甘さ」が、一瞬にしてBonzo Lendに預けられた900万ドルを危険にさらしたのです。これはもはや「コードのバグ」ではなく「経済的論理の欠陥」です。

今後は、第三者機関によるコード監査の結果以上に、「動的な市場操作に対する耐性テスト」が投資判断のデファクトスタンダードとなるでしょう。Hedera経済圏は一時的な停滞を余儀なくされますが、このような厳しい淘汰プロセスこそが、将来的に機関投資家レベルの大規模資金を受け入れるための避けては通れない「洗礼」であると私たちは確信しています。

よくある質問(FAQ)

今回のBonzo Lend流出の原因は何ですか?
価格参照元であるSupraオラクルが、攻撃者によって意図的に操作された異常な価格データを「正しいもの」として承認してしまったことにあります。これにより、攻撃者は低価値な資産を担保に多額の借入を行いました。
預けていた資産は戻ってきますか?
現在、流出した900万ドルのうち約100万ドル分が「ホワイトハット」によるものと判明し、返還が合意されています。残りの資金についてはオンチェーン追跡中であり、プロトコル側からの公式な補償方針を待つ必要があります。
Hedera以外のDeFiプロトコルにも影響はありますか?
直接的な資金流出はありませんが、同様に「単一の新興オラクル」に依存しているプロトコルは、同様の手法で攻撃されるリスクがあります。利用中のサービスが「Chainlink」などの実績あるオラクルを併用しているか確認することを推奨します。

この記事の著者

高橋 誠

高橋 誠 (Makoto Takahashi)

Crypto-navi 編集長 / Webシステム・自動化エンジニア

詳細プロフィール・実績はこちら ≫

免責事項・投資判断について

本記事は、暗号資産市場に関する情報提供および教育を目的としたものであり、特定の資産の購入、売却、または保有を勧誘・推奨するものではありません。

暗号資産の投資や投機には高いリスクが伴います。最終決定はご自身の責任と判断において行っていただくようお願いいたします。

Crypto-Naviおよび著者は、本記事の情報に基づいて行われた行為および結果について、一切の責任を負いません。