Le maillon faible : l'oracle Supra
Le protocole de prêt Bonzo Lend, basé sur le réseau Hedera, a subi une attaque majeure ayant conduit à la perte de plus de 9 millions de dollars ce mercredi. Au cœur du problème : une vulnérabilité dans le vérificateur d’oracle développé par Supra, un fournisseur tiers chargé de transmettre les prix des actifs vers la blockchain. L’attaquant a profité d’une faille permettant à l’oracle d’accepter une mise à jour du prix accompagnée d’une signature nulle, ouvrant la porte à une manipulation massive.
Ce type d’oracle est censé garantir que les prix affichés sur la plateforme reflètent la réalité du marché. Or, en l’absence de contrôle suffisant sur la provenance et l’intégrité des données, il devient un point d’entrée idéal pour des attaques sophistiquées. Supra a reconnu publiquement la faille et a déployé un correctif en urgence, mais le mal était fait : les fonds avaient déjà été siphonnés.
Manipulation du prix SAUCE, la clé
L’attaque s’est déroulée en plusieurs étapes précises : l’auteur a commencé par déposer 250 tokens SAUCE, un actif dont la valeur réelle ne dépassait pas quelques dollars.
Grâce à la faille dans l’oracle Supra, il a ensuite soumis une mise à jour truquée qui gonflait artificiellement le prix du SAUCE d’environ douze ordres de grandeur. Cette manipulation a permis au hacker de présenter ses 250 SAUCE comme un collatéral extrêmement précieux auprès du protocole Bonzo Lend. Profitant de cette illusion comptable, il a pu emprunter 6,63 millions d’USDC (un stablecoin indexé sur le dollar) et 34,52 millions de wrapped HBAR (la version tokenisée du jeton natif Hedera), soit environ 9,05 millions de dollars au taux du jour.
Le prix de référence utilisé pour l’HBAR lors de l’exploit était précisément de 0,06998 dollar.
En quelques minutes seulement, le protocole s’est retrouvé vidé de près des trois quarts de ses fonds déposés.
Un white-hat tente de sauver la mise
Alors que le prix manipulé restait actif sur Bonzo Lend, un second portefeuille est intervenu pour emprunter à son tour environ 1 million de dollars d’actifs. Selon theblock.co, ce wallet s’est identifié auprès de l’équipe comme étant celui d’un white-hat hacker – un pirate éthique – affirmant vouloir restituer les fonds dérobés. Bonzo Lend a rapidement communiqué que ces actifs supplémentaires étaient exclus du calcul principal des pertes définitives liées à l’incident.
Au total, avant toute récupération potentielle par ce white-hat, près de 10,06 millions de dollars avaient été drainés lors de cette opération éclair. La restitution effective des fonds par ce second acteur reste cependant incertaine à ce stade.
Hedera voit sa TVL s’effondrer
L’impact ne s’est pas limité aux seuls utilisateurs directs de Bonzo Lend : selon DeFiLlama, la valeur totale verrouillée (TVL) sur Hedera est passée en vingt-quatre heures de plus de 40 millions à seulement 25,7 millions de dollars après l’exploit. Cette chute brutale représente une baisse proche de 40 %, illustrant la fragilité systémique induite par ce genre d’événement dans l’écosystème DeFi local.
La confiance dans les protocoles basés sur Hedera est donc largement ébranlée depuis cet incident. Pour mémoire, le marché DeFi global connaît lui aussi une période difficile : entre janvier et juin 2026, sa TVL est passée de 115 milliards à plus de 70 milliards de dollars selon cointelegraph.com – soit une contraction globale similaire (-39 %) qui souligne combien chaque exploit majeur peut accélérer la défiance des investisseurs.
Pourquoi ça compte
Ce nouvel exploit met en lumière le risque structurel que représentent les oracles tiers pour les protocoles DeFi. Même sans faille propre dans ses contrats ou dans le réseau Hedera lui-même – Bonzo Lend insiste là-dessus –, le projet n’a pas pu empêcher qu’un bug externe entraîne des pertes massives pour ses utilisateurs. En parallèle, Supra a réagi rapidement avec un patch mais cela n’efface pas les conséquences immédiates pour les déposants ni pour l’image globale du secteur.
En cumulant plus de 755 millions volés via 83 attaques rien qu’au deuxième trimestre 2026 dans la DeFi mondiale, cet incident rappelle que chaque maillon faible – ici un oracle mal sécurisé – peut provoquer des dégâts considérables en chaîne. Pour les plateformes émergentes comme Bonzo Lend ou même pour des blockchains réputées robustes telles qu’Hedera, renforcer ces points critiques reste aujourd’hui incontournable afin d’éviter que l’histoire ne se répète.
Ce qui peut encore basculer
La restitution des 1 million de dollars empruntés par le second portefeuille, dont le propriétaire s’est identifié comme white-hat via Discord, reste incertaine et pourrait modifier le montant final des pertes pour Bonzo Lend si elle se concrétise.
