Protokol decentralized lending di jaringan Hedera, Bonzo Lend, menjadi korban eksploitasi oracle yang mengakibatkan kerugian sekitar $9,05 juta atau setara Rp147 miliar. Insiden ini mengguncang ekosistem Hedera dan menyebabkan total value locked (TVL) protokol anjlok hingga 77% dalam waktu singkat.
Kronologi Eksploitasi Oracle Supra
Menurut laporan insiden awal yang dipublikasikan oleh tim Bonzo Finance pada Sabtu (11/7), penyerang hanya menyetorkan 250 token SAUCE—yang nilainya hanya beberapa dolar—sebelum mengirimkan manipulasi harga ke oracle yang menggembungkan nilai token tersebut hingga sekitar 12 kali lipat lipat dari nilai sebenarnya.
Dengan harga jaminan yang dimanipulasi itu, dompet penyerang berhasil meminjam 6,63 juta USDC dan 34,52 juta wrapped HBAR dari kolam likuiditas Bonzo Lend. Dengan harga referensi HBAR di kisaran $0,06998, total penarikan ilegal mencapai sekitar $9,05 juta.
Bonzo Lend menegaskan bahwa insiden ini bukan disebabkan oleh kerentanan pada smart contract mereka maupun jaringan inti Hedera. Pihak protokol menyalahkan celah pada komponen verifikasi oracle on-chain milik Supra, yang menerima tanda tangan nol (zeroed signature) sebagai validasi harga SAUCE yang telah dimanipulasi.
Supra dilaporkan telah mengakui masalah tersebut dan segera menerapkan perbaikan untuk mencegah eksploitasi serupa di masa depan. Meski demikian, dampak terhadap kepercayaan pengguna sangat signifikan.
Dampak terhadap Ekosistem Hedera
Berdasarkan data DeFiLlama, TVL Hedera turun hampir 40% dalam 24 jam setelah eksploitasi, sementara TVL Bonzo Lend sendiri anjlok 77% menjadi hanya tersisa sekitar $5 juta dari sebelumnya lebih dari $20 juta.
Satu dompet kedua dilaporkan meminjam sekitar $1 juta aset tambahan saat harga abnormal masih aktif. Namun dompet tersebut kemudian menghubungi Bonzo melalui Discord dan mengidentifikasi diri sebagai white-hat responder yang berniat mengembalikan dana tersebut.
Rangkaian Eksploitasi DeFi 2026
Insiden ini menambah daftar panjang eksploitasi di sektor decentralized finance (DeFi) sepanjang tahun 2026. Data menunjukkan kuartal kedua 2026 menjadi kuartal dengan jumlah peretasan tertinggi sepanjang sejarah, dengan 83 insiden dan total kerugian mencapai $755 juta.
Eksploitasi cross-chain bridge menyumbang kerugian $351 juta, sementara serangan melalui kompromi administrator dan manipulasi harga token palsu mencakup 37% dari total kerugian kuartalan. Secara keseluruhan, sepanjang paruh pertama 2026, CryptoRank mencatat 121 peretasan dengan total kerugian sekitar $942 juta.
Insiden di Bonzo Lend mengingatkan pada eksploitasi serupa di jaringan Stellar pada Februari lalu, ketika penyerang menguras sekitar $10 juta dari kolam pinjaman YieldBlox DAO dengan memanipulasi jalur harga yang digunakan untuk menilai jaminan token USTRY.
Rangkaian insiden keamanan ini dinilai menjadi faktor signifikan di balik penurunan TVL DeFi secara keseluruhan, yang turun 39% dari sekitar $115 miliar pada Januari 2026 menjadi hanya sekitar $70 miliar pada Juni 2026. Berkurangnya kepercayaan pengguna mendorong arus keluar modal yang semakin memperdalam tekanan di sektor keuangan terdesentralisasi.



