Bonzo Lend, un protocolo de préstamos basado en Hedera, perdió alrededor de USD $9 millones después de que un atacante manipuló el precio del token SAUCE usado como garantía y tomó préstamos muy por encima del valor real depositado. El protocolo atribuyó el incidente a una falla en el verificador onchain del oráculo de Supra, no a una vulnerabilidad en sus contratos ni en la red principal de Hedera.
***
- Bonzo Lend perdió cerca de USD $9 millones por un exploit relacionado con oráculos.
- El atacante depositó apenas 250 SAUCE y manipuló su precio por 12 órdenes de magnitud.
- La cuenta tomó préstamos por 6,63 millones de USDC y 34,5 millones de wrapped HBAR.
- Bonzo dijo que la falla estuvo en el verificador onchain de Supra, que ya habría desplegado una corrección.
🚨 Pérdidas millonarias en Hedera 🚨
Bonzo Lend sufre un exploit que costó USD $9 millones.
Un atacante manipuló el precio del colateral SAUCE, llevando a préstamos desproporcionados.
El oráculo de Supra fue señalado como responsable, no la red Hedera.
Este incidente resalta… pic.twitter.com/NL1xzGnkS0
— Diario฿itcoin (@DiarioBitcoin) July 11, 2026
Bonzo Lend, un protocolo de préstamos descentralizados construido sobre Hedera, confirmó pérdidas cercanas a USD $9 millones tras un exploit basado en la manipulación del precio de un activo usado como garantía.
El incidente fue detallado por el propio protocolo en un informe preliminar publicado el sábado. Según Bonzo, el atacante utilizó el token SAUCE como colateral, pero logró inflar artificialmente su valor dentro del sistema, lo que le permitió pedir prestados activos por una suma muy superior al valor real depositado.
Más temprano, DiarioBitcoin había reportado que Hedera habría sufrido un hackeo con pérdidas que ya superaban los USD $5 millones. La nueva información eleva el impacto estimado a alrededor de USD $9 millones y precisa que el ataque afectó al protocolo Bonzo Lend mediante un problema de oráculo.
Cómo ocurrió el ataque
De acuerdo con el reporte preliminar, el atacante depositó 250 SAUCE, una cantidad valorada en apenas unos pocos dólares.
Luego presentó una actualización de precio que infló el valor del token por aproximadamente 12 órdenes de magnitud. Esa distorsión convirtió un colateral de bajo valor en una garantía aparentemente enorme dentro del protocolo.
Con esa valoración artificial, la billetera atacante pudo tomar préstamos por 6,63 millones de USDC y 34,5 millones de wrapped HBAR desde el pool de préstamos de Bonzo Lend.
El caso muestra cómo una falla de oráculo puede transformar un activo prácticamente insignificante en una vía para drenar liquidez real. En protocolos de préstamo, la valoración de colateral es crítica: si el sistema cree que un usuario depositó garantías de alto valor, le permite endeudarse contra ellas.
Cuando esa valoración es manipulada, el protocolo puede terminar entregando activos líquidos a cambio de colateral sin valor equivalente.
Bonzo apunta a Supra, no a Hedera
Bonzo Lend atribuyó el incidente a una falla en el verificador onchain del oráculo de Supra. Según el protocolo, el verificador aceptó un precio manipulado para SAUCE que contenía una firma en cero. Esa aceptación permitió que el precio falso fuera usado dentro del sistema de préstamos.
Bonzo dijo que Supra reconoció el problema y desplegó una corrección. El protocolo subrayó además que el incidente no se debió a una vulnerabilidad en los contratos de Bonzo Lend ni en la red central de Hedera.
Esa distinción es importante para delimitar responsabilidades técnicas. El exploit no habría requerido comprometer la blockchain de Hedera ni alterar directamente el código principal del protocolo de préstamos, sino aprovechar una falla en la capa externa de datos que alimenta los precios.
En DeFi, los oráculos son una pieza esencial porque conectan contratos inteligentes con información de mercado. Si esa capa falla, incluso contratos que operan como fueron diseñados pueden terminar ejecutando préstamos, liquidaciones o swaps sobre datos incorrectos.
El riesgo de los oráculos en DeFi
El incidente vuelve a poner bajo presión una de las vulnerabilidades más conocidas de las finanzas descentralizadas: la dependencia de precios externos. Los protocolos de préstamo necesitan saber cuánto vale cada activo depositado como garantía. Para ello usan oráculos, que deben entregar precios confiables, firmados y resistentes a manipulación.
Cuando un atacante logra alterar ese precio, el protocolo puede calcular mal el ratio de colateral y permitir retiros excesivos. En este caso, el depósito inicial fue de apenas 250 SAUCE, pero el precio inflado permitió retirar millones de dólares en USDC y wrapped HBAR.
Este tipo de exploit no siempre implica que el contrato principal tenga una falla lógica evidente. A veces basta con que el contrato confíe en un dato externo que resulta incorrecto. La ejecución puede ser “correcta” según el código, pero desastrosa desde el punto de vista económico.
Por eso, los oráculos se han convertido en uno de los puntos más sensibles de la arquitectura DeFi.
Un golpe para Hedera DeFi
El ataque representa un golpe para el ecosistema DeFi de Hedera.
Hedera ha intentado posicionarse como una red eficiente, de bajo costo y orientada a aplicaciones empresariales y financieras. La pérdida en Bonzo Lend no implica necesariamente una falla en la capa base de Hedera, pero sí afecta la percepción de seguridad de las aplicaciones construidas sobre ella.
Para usuarios, la distinción entre protocolo, oráculo y red subyacente puede ser técnica. En la práctica, una pérdida de USD $9 millones en una aplicación DeFi del ecosistema suele traducirse en dudas más amplias sobre gestión de riesgos, auditorías, proveedores externos y calidad de integración.
Bonzo intentó contener esa lectura al señalar que sus contratos y Hedera no fueron la fuente directa del problema. Sin embargo, el incidente muestra que la seguridad de un protocolo depende de todo su stack: contratos, oráculos, firmas, validaciones, administración de riesgos y mecanismos de pausa o respuesta.
El precedente de Stellar
El caso de Bonzo Lend recuerda otro exploit reciente basado en manipulación de colateral.
En febrero, atacantes drenaron aproximadamente USD $10 millones de un pool de préstamos gestionado por YieldBlox DAO en Stellar. En ese caso, manipularon la ruta de precios usada para valorar el colateral USTRY, lo que les permitió pedir prestados activos por encima del valor real del token.
Ambos incidentes comparten una lógica similar: no se trata simplemente de robar claves o explotar un bug tradicional, sino de engañar al sistema sobre el valor del colateral.
Este patrón es especialmente peligroso para protocolos de préstamos porque puede vaciar liquidez rápidamente. Si un activo de baja capitalización o con precio manipulable es aceptado como garantía, y si el oráculo no filtra adecuadamente datos anómalos, el protocolo queda expuesto a pérdidas significativas.
DeFi sigue bajo presión en 2026
El ataque a Bonzo Lend se suma a una lista creciente de incidentes de seguridad en DeFi durante 2026.
Según datos citados por Cointelegraph, el segundo trimestre se convirtió en el periodo con más hackeos registrados por número de incidentes, con 83 exploits y alrededor de USD $755 millones robados.
Los ataques a puentes cross-chain representaron USD $351 millones. Las vulneraciones de administradores comprometidos y la manipulación de precios de tokens falsos o mal valorados representaron 37% de las pérdidas trimestrales.
En lo que va de 2026, el valor total bloqueado en DeFi, TVL, cayó 39%, desde aproximadamente USD $115.000 millones en enero hasta más de USD $70.000 millones en junio. CryptoRank registró 121 hackeos y cerca de USD $942 millones en pérdidas durante el periodo.
La repetición de incidentes probablemente ha pesado sobre la confianza de usuarios y reforzado salidas de capital desde protocolos descentralizados.
Confianza y liquidez, los daños secundarios
Más allá del monto perdido, los exploits DeFi tienen efectos secundarios difíciles de medir.
Un ataque de USD $9 millones puede afectar directamente la liquidez de un protocolo, pero también daña la confianza en su diseño. Usuarios pueden retirar fondos preventivamente, proveedores de liquidez pueden exigir mayor rendimiento por riesgo y nuevas integraciones pueden retrasarse.
En lending protocols, la confianza es aún más importante. Los usuarios depositan activos esperando que el sistema evalúe correctamente las garantías y mantenga solvencia. Cuando un atacante logra tomar préstamos contra colateral manipulado, el modelo entero queda bajo revisión.
El daño también puede extenderse a los proveedores externos. En este caso, la mención de Supra coloca a los oráculos en el centro del debate. Aunque Supra haya desplegado una corrección, el incidente puede generar nuevas preguntas sobre validación de firmas, control de datos anómalos y responsabilidad frente a protocolos integrados.
Lecciones para protocolos de préstamos
El ataque deja varias lecciones para DeFi.
La primera es que los activos aceptados como colateral deben pasar controles estrictos de liquidez, profundidad de mercado y resistencia a manipulación. Tokens de menor capitalización pueden representar riesgos desproporcionados si el protocolo permite altos niveles de endeudamiento contra ellos.
La segunda es que los oráculos deben contar con múltiples capas de validación. No basta con recibir un precio firmado si el sistema puede aceptar datos con firmas inválidas, en cero o mal verificadas.
La tercera es que los protocolos necesitan mecanismos de emergencia. Límites de préstamo por activo, topes de exposición, pausas automáticas ante movimientos extremos y monitoreo de precios fuera de rango pueden reducir el daño cuando un dato anómalo entra al sistema.
La cuarta es que las integraciones con proveedores externos deben auditarse como parte del riesgo total del protocolo. Un contrato puede estar bien escrito, pero si depende de un verificador externo defectuoso, el resultado puede ser igualmente grave.
Otro recordatorio sobre seguridad DeFi
Bonzo Lend dijo que el incidente no fue una vulnerabilidad en sus contratos ni en Hedera, pero la pérdida de USD $9 millones muestra que el riesgo DeFi no se limita al código principal de una aplicación.
Los protocolos son sistemas compuestos. Dependen de oráculos, puentes, wrappers, firmas, proveedores de datos, administradores, parámetros de riesgo y liquidez. Una falla en cualquiera de esas capas puede convertirse en una pérdida real.
El ataque llega en un año ya complicado para DeFi, con casi USD $1.000 millones en pérdidas registradas por hackeos y exploits durante el primer semestre. La industria ha avanzado en auditorías y monitoreo, pero los atacantes siguen encontrando puntos débiles en infraestructura crítica.
Para Bonzo Lend, el próximo reto será contener el daño, recuperar fondos si es posible, reforzar su integración de oráculos y reconstruir la confianza de usuarios. Para el sector, el mensaje es más amplio: mientras los protocolos de préstamo dependan de precios externos, la seguridad de los oráculos seguirá siendo tan importante como la seguridad de los contratos inteligentes.
Imagen editada de Unsplash
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
AltCoins
XRP enfría su demanda en cadena, futuros y ETF, pero analistas ven posible rebote
AltCoins
Hedera habría sufrido un hackeo con pérdidas que ya superan los USD $5 millones
AltCoins
XDC se desploma un 61% en un año y marca mínimos de ciclo: ¿hora de acumular o de capitular?
AltCoins