Le protocole Bonzo Lend a subi un piratage de 9,05 millions de dollars, marquant le premier exploit DeFi d’envergure sur Hedera. L’attaquant a exploité une faille de l’oracle de prix pour emprunter des fonds sans couverture suffisante, avant de transférer 5,25 millions de dollars vers Ethereum via un bridge (PeckShield, 2026).
Au programme
- Faille oracle utilisée pour emprunter 9,05 M$ sans garantie sur Bonzo Lend (PeckShield, Specter)
- 5,25 M$ pontés vers Ethereum en quelques minutes via la liquidité des layers 2
- Crise de confiance pour le DeFi sur Hedera, une chaîne gouvernée par Google et IBM
Comment l’attaquant a-t-il siphonné 9 M$ de Bonzo Lend ?
L’attaque repose sur une manipulation d’oracle, une méthode visant à altérer le flux de données de prix externes qu’utilise un smart contract. L’attaquant a artificiellement gonflé la valeur de ses garanties pour emprunter 9,05 millions de dollars en actifs numériques.
Les sociétés de cybersécurité Specter et PeckShield ont tracé l’opération. Les données montrent que plus de la moitié du butin, soit 5,25 millions de dollars, a été immédiatement transférée d’Hedera vers Ethereum. Un basculement éclair. Les 3,8 millions restants n’ont pas été retrouvés, vraisemblablement dispersés dans des circuits de blanchiment on-chain. Cette attaque souligne le rôle critique des bridges inter-chaînes comme vecteur de fuite lors des hacks majeurs.
Pourquoi les oracles sont-ils le point faible persistant de la DeFi ?
Le problème des oracles est simple : un smart contract est mathématiquement vérifiable mais entièrement tributaire de la fiabilité de sa source externe. En 2024, les piratages de la DeFi cumulaient déjà 5,6 milliards de dollars de pertes, avec les oracles parmi les premiers vecteurs d’attaque. C’est rare, mais dévastateur.
Pour un protocole de prêt comme Bonzo, l’absence de mécanisme de vérification redondant ou d’alerte en cas de variation brutale de prix a scellé sa perte. Les chercheurs du FMI ont déjà établi un parallèle entre l’illusion de stabilité d’un ancrage défaillant et la fuite massive des capitaux. La confiance se dérobe d’un coup, sans préavis.
Quel avenir pour l’écosystème DeFi d’Hedera ?
L’impact sur la confiance est immédiat pour Hedera, une blockchain dont la gouvernance (Google, IBM, Boeing) laissait présager une sécurité maximale. La valeur totale bloquée (TVL) sur Hedera risque une contraction sévère, similaire aux conséquences déjà observées sur d’autres chaînes après un exploit.
L’attaque de Bonzo Lend illustre un dilemme institutionnel plus large. La sécurité des infrastructures décentralisées contredit le discours de maturité porté par les consortiums d’entreprises. Les exploits de ce type, quand ils se multiplient, refroidissent l’adoption à un niveau systémique.
Notre lecture Le piratage de Bonzo Lend n’est pas un simple vol isolé. Il révèle un angle mort critique : la dépendance des protocoles à des données de prix non vérifiées. La vitesse à laquelle plus de 5 M$ ont été pontés vers Ethereum confirme que les bridges restent le talon d’Achille de la sécurité inter-chaînes.
Questions fréquentes
Qu’est-ce qu’une attaque par manipulation d’oracle ?
C’est une technique où un pirate falsifie les données de prix externes consommées par un smart contract. Cela lui permet d’emprunter des sommes disproportionnées par rapport à la valeur réelle de ses garanties, contournant les mécanismes de sécurité du protocole.
Pourquoi Bonzo Lend a-t-il été ciblé sur Hedera ?
Bonzo Lend est le plus gros protocole de prêt DeFi sur la blockchain Hedera, avec une liquidité importante. Son rôle de place de marché unique en fait une cible de choix pour un attaquant cherchant un impact maximal avec un seul exploit.
Comment l’attaquant a-t-il converti les fonds volés ?
L’attaquant a utilisé un bridge inter-chaînes pour envoyer 5,25 millions de dollars d’actifs depuis Hedera vers le réseau Ethereum. Ce transfert rapide complique le gel des fonds et facilite le blanchiment via des protocoles décentralisés sur Ethereum.
À retenir
Le piratage de 9,05 millions de dollars sur Bonzo Lend est inédit pour Hedera. L’usage d’une faille d’oracle et le pontage immédiat de 5,25 M$ vers Ethereum marquent un tournant pour une blockchain d’entreprise qui misait sur sa robustesse. La suite dépendra des conclusions de l’enquête menée par Specter et PeckShield et de la mise en place de mécanismes anti-manipulation sur les protocoles de prêt.